在支持请求中对发现结果进行分组

本文档介绍了如何在 Security Command Center 的企业层级将发现结果分组为支持请求。

概览

发现结果分组机制会自动将提取的发现结果分组为案例。默认情况下,此分组机制可确保支持请求中的所有发现都属于同一类别:

  • 资源所有者
  • Google Cloud 项目
  • AWS 账号
  • 资源类型
  • 类别
  • 严重级别

配置分组设置

如需配置适用于所有提取的发现的默认分组设置,请按以下步骤操作:

  1. 在安全运营控制台中,依次选择设置 > 提取 > 连接器

  2. 选择 SCC Enterprise - Urgent Posture Findings Connector

  3. 如需自定义分组机制并停用特定分组选项,请取消选中以下一个或多个参数对应的复选框:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

默认情况下,以下分组设置会应用于提取的发现结果:

  • 按 AWS 账号分组:根据相应发现所属的 AWS 账号对其进行分组。

  • 按 GCP 项目分组:发现结果会按其所属的 Google Cloud 项目进行分组。

  • 按严重级别分组:发现结果会按 severity 级别(例如 HIGHMEDIUM)进行分组。

  • 按资产类型分组:根据资产类型(Google Cloud 资源类型),例如 Compute Engine 实例或 IAM 服务账号,对发现结果进行分组。

分组到一个支持请求中的所有发现结果都属于同一所有者。为确保正确对发现结果进行分组(包括没有继承的 Google Cloud 代码或重要联系人的发现结果),请始终配置连接器 Fallback Owner 参数。

示例:分组机制的运作方式

在本例中,仅使用 Google Cloud 中的发现。

该连接器会提取四项来自各自 Google Cloud 资源的严重程度和值不同的发现:

发现结果 1:严重程度:Critical,资源类型:Compute,项目:Project_1

发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2

问题 3:严重程度:High,资源类型:Compute,项目:Project_1

问题 4:严重程度:High,资源类型:Compute,项目:Project_2

默认分组机制

默认设置表示发现结果会按各自的项目、资产类型和严重级别属性进行分组。

在此示例中,每个发现都包含在不同的支持请求中。

  • 示例 1:

    • 发现结果 1:严重程度:Critical,资源类型:Compute,项目:Project_1
  • 示例 2:

    • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2
  • 示例 3:

    • 问题 3:严重程度:High,资源类型:Compute,项目:Project_1
  • 示例 4:

    • 问题 4:严重程度:High、资源类型:Compute、项目:Project_2

自定义分组机制

如果仅选中按 GCP 项目分组复选框,系统会自动按 Google Cloud 项目对问题进行分组,以便一个支持请求仅包含属于同一项目的问题:

  • 示例 1:

    • 发现 1:严重程度 Critical,资源类型:Compute,项目:Project_1
    • 问题 3:严重程度 High,资源类型:Compute,项目:Project_1
  • 示例 2:

    • 发现 2:严重程度 Critical,资源类型:IAM,项目:Project_2
    • 问题 4:严重程度 High,资源类型:Compute,项目:Project_2

仅选中按严重程度分组复选框即可自动按严重程度对发现结果进行分组,以便一个支持请求仅包含严重程度相同的发现结果:

  • 示例 1:

    • 发现结果 1:严重程度:Critical,资源类型:Compute,项目:Project_1
    • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2
  • 示例 2:

    • 问题 3:严重程度:High,资源类型:Compute,项目:Project_1
    • 问题 4:严重程度:High、资源类型:Compute、项目:Project_2

仅选中按资产类型分组复选框即可自动按资产类型(Google Cloud 中的资源类型)对发现结果进行分组,以便一个支持请求仅包含属于同一资源的发现结果:

  • 示例 1:

    • 发现结果 1:严重程度:Critical,资源类型:Compute,项目:Project_1
    • 问题 3:严重程度:High,资源类型:Compute,项目:Project_1
    • 问题 4:严重程度:High,资源类型:Compute,项目:Project_2
  • 示例 2:

    • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2

同时选中按 GCP 项目分组按严重程度分组复选框后,系统会自动按各自的项目和严重程度级别对问题进行分组,以便一个支持请求仅包含属于同一项目且具有相同严重程度的问题。在此示例中,连接器会创建以下四种情况:

  • 示例 1:

    • 发现结果 1:严重程度:Critical,资源类型:Compute,项目:Project_1
  • 示例 2:

    • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2
  • 示例 3:

    • 问题 3:严重程度:High、资源类型:Compute、项目:Project_1
  • 示例 4:

    • 问题 4:严重程度:High、资源类型:Compute、项目:Project_2

后续步骤

  • 如需详细了解提醒,请参阅 Google SecOps 文档。