对支持请求中的发现结果进行分组

本文档介绍如何将发现结果分组到相应案例中。

这些步骤通过 Security Operations 控制台页面执行。如需从 Google Cloud 控制台打开这些页面,请依次前往设置 > SOAR 设置

概览

发现结果分组机制会自动将注入的发现结果分组到相应案例中。默认情况下,此分组机制可确保一个案例中所有发现结果的下列属性都相同:

  • 资源所有者
  • Google Cloud 项目
  • AWS 账号
  • 资产类型
  • 类别
  • 严重级别

配置分组设置

如需配置适用于所有注入的发现结果的默认分组设置,请按以下步骤操作:

  1. 在 Security Operations 控制台中,依次前往设置 > 注入 > 连接器

  2. 选择 SCC Enterprise - Urgent Posture Findings 连接器

  3. 如需自定义分组机制并停用一些特定的分组选项,请取消选中以下一个或多个参数对应的复选框:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

默认情况下,以下分组设置适用于注入的发现结果:

  • 按 AWS 账号分组:发现结果会根据其所属的 AWS 账号进行分组。

  • 按 GCP 项目分组:发现结果会根据其所属的 Google Cloud项目进行分组。

  • 按严重级别分组:发现结果会根据其 severity 级别(例如 HIGHMEDIUM)进行分组。

  • 按资产类型分组:发现结果会根据其资产类型(Google Cloud 资源类型)进行分组,例如 Compute Engine 实例或 IAM 服务账号。

分组到同一案例中的所有发现结果都属于同一所有者。为确保将发现结果(包括没有继承的Google Cloud 标记或重要联系人的发现结果)正确分组,请务必配置连接器 Fallback Owner 参数。

示例:分组机制的运作方式

在此示例中,仅使用来自 Google Cloud 的发现结果。

连接器会注入四项具有不同严重级别以及从其各自的 Google Cloud 资源继承了不同值的发现结果:

  • 发现结果 1:严重级别:Critical,资产类型:Compute,项目:Project_1

  • 发现结果 2:严重级别:Critical,资产类型:IAM,项目:Project_2

  • 发现结果 3:严重级别:High,资产类型:Compute,项目:Project_1

  • 发现结果 4:严重级别:High,资产类型:Compute,项目:Project_2

默认分组机制

如果使用默认设置,发现结果会根据其各自的项目、资产类型和严重级别属性进行分组。

在此示例中,每项发现结果被分组到的案例都不同。

  • 案例 1:

    • 发现结果 1:严重级别:Critical,资产类型:Compute,项目:Project_1

  • 案例 2:

    • 发现结果 2:严重级别:Critical,资产类型:IAM,项目:Project_2

  • 案例 3:

    • 发现结果 3:严重级别:High,资产类型:Compute,项目:Project_1

  • 案例 4:

    • 发现结果 4:严重级别:High,资产类型:Compute,项目:Project_2

自定义分组机制

如果仅选中按 GCP 项目分组复选框,则系统会自动根据发现结果所属的 Google Cloud 项目对发现结果进行分组,这样,同一案例就只会包含属于同一项目的发现结果:

  • 案例 1:

    • 发现结果 1:严重级别 Critical,资产类型:Compute,项目:Project_1
    • 发现结果 3:严重级别 High,资产类型:Compute,项目:Project_1

  • 案例 2:

    • 发现结果 2:严重级别 Critical,资产类型:IAM,项目:Project_2
    • 发现结果 4:严重级别 High,资产类型:Compute,项目:Project_2

如果仅选中按严重级别分组复选框,则系统会自动按严重级别对发现结果进行分组,这样,同一案例就只会包含严重级别相同的发现结果:

  • 案例 1:

    • 发现结果 1:严重级别:Critical,资产类型:Compute,项目:Project_1
    • 发现结果 2:严重级别:Critical,资产类型:IAM,项目:Project_2

  • 案例 2:

    • 发现结果 3:严重级别:High,资产类型:Compute,项目:Project_1
    • 发现结果 4:严重级别:High,资产类型:Compute,项目:Project_2

如果仅选中按资产类型分组复选框,则系统会自动根据发现结果的资产类型( Google Cloud中的资源类型)对发现结果进行分组,这样,同一案例就只会包含属于同一类资源的发现结果:

  • 案例 1:

    • 发现结果 1:严重级别:Critical,资产类型:Compute,项目:Project_1
    • 发现结果 3:严重级别:High,资产类型:Compute,项目:Project_1
    • 发现结果 4:严重级别:High,资产类型:Compute,项目:Project_2

  • 案例 2:

    • 发现结果 2:严重级别:Critical,资产类型:IAM,项目:Project_2

如果同时选中按 GCP 项目分组按严重级别分组复选框,则系统会自动根据发现结果所属的项目及其严重级别对其进行分组,这样,同一案例就只会包含属于同一项目且严重级别相同的发现结果。在此示例中,连接器会创建以下四个案例:

  • 案例 1:

    • 发现结果 1:严重级别:Critical,资产类型:Compute,项目:Project_1

  • 案例 2:

    • 发现结果 2:严重级别:Critical,资源类型:IAM,项目:Project_2

  • 案例 3:

    • 发现结果 3:严重级别:High,资源类型:Compute,项目:Project_1

  • 案例 4:

    • 发现结果 4:严重级别:High,资源类型:Compute,项目:Project_2

后续步骤

  • 请参阅 Google SecOps 文档,了解有关提醒的更多信息。