Mengelompokkan temuan dalam kasus

Dokumen ini menjelaskan cara mengelompokkan temuan ke dalam kasus di tingkat Enterprise Security Command Center.

Ringkasan

Mekanisme pengelompokan temuan secara otomatis mengelompokkan temuan yang diserap ke dalam kasus. Secara default, mekanisme pengelompokan ini memastikan bahwa semua temuan dalam kasus memiliki:

  • Pemilik fasilitas
  • Project Google Cloud
  • Akun AWS
  • Jenis aset
  • Kategori
  • Tingkat keparahan

Mengonfigurasi setelan pengelompokan

Untuk mengonfigurasi setelan pengelompokan default yang berlaku untuk semua temuan yang diserap, ikuti langkah-langkah berikut:

  1. Di konsol Security Operations, buka Settings > Ingestion > Connectors.

  2. Pilih SCC Enterprise - Urgent Posture Findings Connector.

  3. Untuk menyesuaikan mekanisme pengelompokan dan menonaktifkan opsi pengelompokan tertentu, hapus centang pada kotak untuk satu atau beberapa parameter berikut:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

Secara default, setelan pengelompokan berikut berlaku untuk temuan yang ditransfer:

  • Kelompokkan menurut Akun AWS: Temuan dikelompokkan menurut akun AWS yang terkait.

  • Kelompokkan menurut Project GCP: Temuan dikelompokkan menurut project Google Cloud yang terkait.

  • Kelompokkan menurut Tingkat Keparahan: Temuan dikelompokkan menurut severity tingkat, seperti HIGH atau MEDIUM.

  • Kelompokkan menurut Jenis Aset: Temuan dikelompokkan menurut jenis asetnya (jenis resource Google Cloud), seperti instance Compute Engine atau akun layanan IAM.

Semua temuan yang dikelompokkan ke dalam kasus adalah milik pemilik yang sama. Untuk memastikan temuan dikelompokkan dengan benar, termasuk temuan tanpa tag Google Cloud atau Kontak Penting yang diwarisi, selalu konfigurasikan parameter Fallback Owner konektor.

Contoh: Cara kerja mekanisme pengelompokan

Dalam contoh ini, hanya temuan dari Google Cloud yang digunakan.

Konektor menyerap empat temuan dengan tingkat keparahan dan nilai yang berbeda yang diwarisi dari resource Google Cloud masing-masing:

Temuan 1: Tingkat Keparahan: Critical, Jenis Aset: Compute, Project: Project_1

Temuan 2: Tingkat Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

Temuan 3: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_1

Temuan 4: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_2

Mekanisme pengelompokan default

Setelan default berarti bahwa temuan dikelompokkan sesuai dengan project, jenis aset, dan properti tingkat keparahannya masing-masing.

Dalam contoh ini, setiap temuan disertakan dalam kasus yang berbeda.

  • Kasus 1:

    • Temuan 1: Tingkat Keparahan: Critical, Jenis Aset: Compute, Proyek: Project_1

  • Kasus 2:

    • Temuan 2: Tingkat Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

  • Kasus 3:

    • Temuan 3: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_1

  • Kasus 4:

    • Temuan 4: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_2

Mekanisme pengelompokan kustom

Memilih kotak centang Kelompokkan menurut Project GCP akan otomatis mengelompokkan temuan sesuai dengan project Google Cloud-nya sehingga kasus hanya berisi temuan yang termasuk dalam project yang sama:

  • Kasus 1:

    • Temuan 1: Tingkat Keparahan Critical, Jenis Aset: Compute, Project: Project_1
    • Temuan 3: Tingkat Keparahan High, Jenis Aset: Compute, Project: Project_1

  • Kasus 2:

    • Temuan 2: Tingkat Keparahan Critical, Jenis Aset: IAM, Project: Project_2
    • Temuan 4: Tingkat Keparahan High, Jenis Aset: Compute, Project: Project_2

Hanya memilih kotak centang Kelompokkan menurut Keparahan akan otomatis mengelompokkan temuan sesuai dengan tingkat keparahannya sehingga kasus hanya berisi temuan dengan tingkat keparahan yang sama:

  • Kasus 1:

    • Temuan 1: Tingkat Keparahan: Critical, Jenis Aset: Compute, Project: Project_1
    • Temuan 2: Tingkat Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

  • Kasus 2:

    • Temuan 3: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_1
    • Temuan 4: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_2

Memilih kotak centang Kelompokkan menurut Jenis Aset akan otomatis mengelompokkan temuan sesuai dengan jenis asetnya (jenis resource di Google Cloud) sehingga kasus hanya berisi temuan yang termasuk dalam resource yang sama:

  • Kasus 1:

    • Temuan 1: Tingkat Keparahan: Critical, Jenis Aset: Compute, Project: Project_1
    • Temuan 3: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_1
    • Temuan 4: Tingkat Keparahan: High, Jenis Aset: Compute, Project: Project_2

  • Kasus 2:

    • Temuan 2: Tingkat Keparahan: Critical, Jenis Aset: IAM, Project: Project_2

Memilih kotak centang Kelompokkan menurut Project GCP dan Kelompokkan menurut Keparahan akan otomatis mengelompokkan temuan menurut project dan tingkat keparahannya masing-masing sehingga kasus hanya berisi temuan yang termasuk dalam project yang sama dan memiliki tingkat keparahan yang sama. Dalam contoh ini, konektor membuat empat kasus berikut:

  • Kasus 1:

    • Temuan 1: Tingkat Keparahan: Critical, Jenis Aset: Compute, Project: Project_1

  • Kasus 2:

    • Temuan 2: Tingkat Keparahan: Critical, Jenis Resource: IAM, Project: Project_2

  • Kasus 3:

    • Temuan 3: Tingkat Keparahan: High, Jenis Resource: Compute, Project: Project_1

  • Kasus 4:

    • Temuan 4: Tingkat Keparahan: High, Jenis Resource: Compute, Project: Project_2

Apa langkah selanjutnya?

  • Pelajari notifikasi lebih lanjut dalam dokumentasi Google SecOps.