Questo documento spiega come raggruppare i risultati in casi nel livello Enterprise di Security Command Center.
Panoramica
Il meccanismo di raggruppamento dei risultati raggruppa automaticamente i risultati importati in casi. Per impostazione predefinita, questo meccanismo di raggruppamento garantisce che tutti i risultati di una richiesta appartengano allo stesso:
- Proprietario risorsa
- Progetto Google Cloud
- Account AWS
- Tipo di asset
- Categoria
- Livello di gravità
Configura le impostazioni di raggruppamento
Per configurare le impostazioni di raggruppamento predefinite applicabili a tutti i risultati importati:
In Security Operations Console, vai a Impostazioni > Importazione > Connettori.
Seleziona Connettore SCC Enterprise - Urgent Posture Findings.
Per personalizzare il meccanismo di raggruppamento e disattivare opzioni di raggruppamento specifiche, Deseleziona le caselle di controllo relative a uno o più dei seguenti parametri:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Per impostazione predefinita, ai risultati importati si applicano le seguenti impostazioni di raggruppamento:
Raggruppa per account AWS: i risultati vengono raggruppati in base agli account AWS a cui appartengono.
Raggruppa per progetto Google Cloud: i risultati vengono raggruppati in base al target ai progetti a cui appartengono.
Raggruppa per gravità: i risultati vengono raggruppati in base al loro
severitylivello, comeHIGHoMEDIUM.Raggruppa per tipo di asset: i risultati vengono raggruppati in base al tipo di asset (tipo di risorsa di Google Cloud), ad esempio istanza Compute Engine o account di servizio IAM.
Tutti i risultati raggruppati in una richiesta appartengono allo stesso proprietario. Per assicurarti che i risultati vengano raggruppati correttamente, inclusi quelli senza tag Google Cloud o contatti fondamentali ereditati, configura sempre il parametro Fallback Owner del connettore.
Esempio: come funziona il meccanismo di raggruppamento
In questo esempio vengono utilizzati solo i risultati di Google Cloud.
Il connettore importa quattro risultati con gravità diverse e dai diversi valori ereditati dalle rispettive risorse Google Cloud:
Risultati 1: gravità: Critical, tipo di asset: Compute, progetto: Project_1
Risultato 2: gravità: Critical, tipo di asset: IAM, progetto: Project_2
Risultati 3: gravità: High, tipo di asset: Compute, progetto: Project_1
Risultati 4: gravità: High, tipo di asset: Compute, progetto: Project_2
Meccanismo di raggruppamento predefinito
Le impostazioni predefinite indicano che i risultati sono raggruppati in base ai rispettivi progetti, tipi di asset e proprietà di gravità.
In questo esempio, ogni risultato è incluso in una richiesta diversa.
Caso 1:
- Risultati 1: gravità:
Critical, tipo di asset:Compute, Progetto:Project_1
- Risultati 1: gravità:
Caso 2:
- Risultato 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2
- Risultato 2: gravità:
Caso 3:
- Risultato 3: gravità:
High, tipo di asset:Compute, progetto:Project_1
- Risultato 3: gravità:
Caso 4:
- Risultati 4: gravità:
High, tipo di asset:Compute, progetto:Project_2
- Risultati 4: gravità:
Meccanismo di raggruppamento personalizzato
La selezione solo della casella di controllo Raggruppa per progetto Google Cloud raggruppa automaticamente i risultati in base ai propri progetti Google Cloud, in modo che una richiesta contenga solo risultati appartenenti allo stesso progetto:
Caso 1:
- Risultati 1: gravità
Critical, tipo di asset:Compute, progetto:Project_1 - Risultati 3: gravità
High, tipo di asset:Compute, progetto:Project_1
- Risultati 1: gravità
Caso 2:
- Risultato 2: gravità
Critical, tipo di asset:IAM, progetto:Project_2 - Risultato 4: gravità
High, tipo di asset:Compute, progetto:Project_2
- Risultato 2: gravità
Se selezioni solo la casella di controllo Raggruppa per gravità, i risultati vengono raggruppati automaticamente. in base alla gravità, in modo che un caso contenga unicamente livello di gravità:
Caso 1:
- Risultati 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1 - Risultato 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2
- Risultati 1: gravità:
Caso 2:
- Risultato 3: gravità:
High, tipo di asset:Compute, progetto:Project_1 - Risultati 4: gravità:
High, tipo di asset:Compute, progetto:Project_2
- Risultato 3: gravità:
La selezione solo della casella di controllo Raggruppa per tipo di asset raggruppa automaticamente i risultati. in base ai tipi di asset (tipi di risorse in Google Cloud), in modo che contiene solo i risultati che appartengono alla stessa risorsa:
Caso 1:
- Risultati 1: gravità:
Critical, tipo di risorsa:Compute, progetto:Project_1 - Risultati 3: gravità:
High, tipo di risorsa:Compute, progetto:Project_1 - Risultato 4: Gravità:
High, Tipo di asset:Compute, Progetto:Project_2
- Risultati 1: gravità:
Caso 2:
- Risultati 2: gravità:
Critical, tipo di risorsa:IAM, progetto:Project_2
- Risultati 2: gravità:
Se selezioni entrambe le caselle di controllo Raggruppa per progetto Google Cloud e Raggruppa per gravità, i risultati vengono raggruppati automaticamente in base ai rispettivi progetti e livelli di gravità, in modo che una richiesta contenga solo i risultati appartenenti allo stesso progetto e con la stessa gravità. In questo esempio, il connettore crea quattro i seguenti casi:
Caso 1:
- Risultato 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1
- Risultato 1: gravità:
Caso 2:
- Risultato 2: gravità:
Critical, tipo di risorsa:IAM, progetto:Project_2
- Risultato 2: gravità:
Caso 3:
- Risultati 3: gravità:
High, tipo di risorsa:Compute, progetto:Project_1
- Risultati 3: gravità:
Caso 4:
- Risultato 4: gravità:
High, tipo di risorsa:Compute, progetto:Project_2
- Risultato 4: gravità:
Passaggi successivi
- Scopri di più sugli avvisi in Google SecOps documentazione.