Ce document explique comment regrouper les résultats par cas dans l'entreprise de Security Command Center.
Présentation
Le mécanisme de regroupement des résultats regroupe automatiquement les résultats ingérés dans cas d'utilisation. Par défaut, ce mécanisme de regroupement garantit que tous les résultats d'une demande appartiennent au même:
- Propriétaire de la ressource
- Projet Google Cloud
- Compte AWS
- Type d'élément
- Catégorie
- Niveau de gravité
Configurer les paramètres de regroupement
Pour configurer les paramètres de regroupement par défaut applicables à tous les résultats ingérés, procédez comme suit:
Dans la console Opérations de sécurité, accédez à Paramètres > Ingestion. > Connecteurs.
Sélectionnez SCC Enterprise - Connecteur de résultats de stratégie urgente.
Pour personnaliser le mécanisme de regroupement et désactiver des options de regroupement spécifiques, décochez les cases d'un ou plusieurs des paramètres suivants:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Par défaut, les paramètres de regroupement suivants s'appliquent aux résultats ingérés:
Group by AWS Account (Grouper par compte AWS) : les résultats sont regroupés en fonction des comptes AWS. auxquels ils appartiennent.
Group by GCP Project (Grouper par projet GCP) : les résultats sont regroupés en fonction du Google Cloud projets auxquels ils appartiennent.
Grouper par gravité: les résultats sont regroupés en fonction de leur
severityde niveau, commeHIGHouMEDIUM.Grouper par type d'asset: les résultats sont regroupés en fonction de leur asset. le type (type de ressource Google Cloud) ; comme une instance Compute Engine ou un compte de service IAM.
Tous les résultats regroupés dans une demande appartiennent au même propriétaire. Pour vous assurer
que les résultats soient correctement regroupés, y compris les résultats sans héritage
Pour les tags Google Cloud ou les contacts essentiels, configurez toujours
Paramètre Fallback Owner du connecteur.
Exemple: Fonctionnement du mécanisme de regroupement
Dans cet exemple, seuls les résultats de Google Cloud sont utilisés.
Le connecteur ingère quatre résultats avec des niveaux de gravité différents. et les différentes valeurs héritées de leurs ressources Google Cloud respectives:
Résultat 1: gravité: Critical, type d'élément: Compute, projet: Project_1
Résultat 2: gravité: Critical, type d'élément: IAM, projet: Project_2
Résultat 3: gravité: High, type d'élément: Compute, projet: Project_1
Résultat 4: gravité: High, type d'élément: Compute, projet: Project_2
Mécanisme de regroupement par défaut
Avec les paramètres par défaut, les résultats sont regroupés projets, types d'éléments et propriétés de gravité.
Dans cet exemple, chaque résultat est inclus dans un cas différent.
Cas 1:
- Résultats 1: gravité:
Critical, type d'asset:Compute, Projet:Project_1
- Résultats 1: gravité:
Cas 2:
- Résultat 2 (niveau de gravité :
Critical), type d'élément :IAM, projet :Project_2
- Résultat 2 (niveau de gravité :
Cas 3:
- Résultats 3 (niveau de gravité :
High), type d'élément :Compute, projet :Project_1
- Résultats 3 (niveau de gravité :
Cas 4:
- Résultats 4 – Gravité :
High, type d'asset :Compute, projet :Project_2
- Résultats 4 – Gravité :
Mécanisme de regroupement personnalisé
Si vous ne cochez que la case Grouper par projet GCP, les résultats sont automatiquement regroupés. en fonction de leurs projets Google Cloud, de sorte qu'une demande ne contienne que des résultats appartenant au même projet:
Cas 1:
- Résultat 1: gravité
Critical, type d'élément:Compute, projet:Project_1 - Résultat 3: gravité
High, type d'élément:Compute, projet:Project_1
- Résultat 1: gravité
Cas 2:
- Résultat 2: gravité
Critical, type d'élément:IAM, projet:Project_2 - Résultat 4: gravité
High, type d'élément:Compute, projet:Project_2
- Résultat 2: gravité
Si vous ne cochez que la case Grouper par gravité, les résultats sont automatiquement regroupés en fonction de leur gravité, de sorte qu'une demande ne contienne que des résultats présentant le même niveau de gravité:
Cas 1:
- Résultat 1: gravité:
Critical, type d'élément:Compute, projet:Project_1 - Résultat 2 (niveau de gravité :
Critical), type d'élément :IAM, projet :Project_2
- Résultat 1: gravité:
Cas 2:
- Résultat 3 (niveau de gravité :
High), type d'élément :Compute, projet :Project_1 - Résultat 4 (niveau de gravité :
High), type d'élément :Compute, projet :Project_2
- Résultat 3 (niveau de gravité :
Si vous ne cochez que la case Grouper par type d'élément, les résultats sont automatiquement regroupés en fonction de leurs types d'éléments (types de ressources dans Google Cloud). Ainsi, une demande ne contient que les résultats appartenant à la même ressource:
Cas 1:
- Résultat 1: gravité:
Critical, type d'élément:Compute, projet:Project_1 - Résultat 3: gravité:
High, type d'élément:Compute, projet:Project_1 - Résultat 4: gravité:
High, type d'élément:Compute, projet:Project_2
- Résultat 1: gravité:
Cas 2:
- Résultat 2: gravité:
Critical, type d'élément:IAM, projet:Project_2
- Résultat 2: gravité:
Cochez les cases Grouper par projet GCP et Grouper par niveau de gravité. regroupe automatiquement les résultats en fonction de leurs projets et de leur gravité respectifs afin qu'une demande ne contienne que les résultats appartenant au même projet et ayant la même gravité. Dans cet exemple, le connecteur crée quatre les cas suivants:
Cas 1:
- Résultat 1: gravité:
Critical, type d'élément:Compute, projet:Project_1
- Résultat 1: gravité:
Cas 2:
- Résultats 2 (niveau de gravité :
Critical), type de ressource :IAM, projet :Project_2
- Résultats 2 (niveau de gravité :
Cas 3:
- Résultats 3 (niveau de gravité :
High), type de ressource :Compute, projet :Project_1
- Résultats 3 (niveau de gravité :
Cas 4:
- Résultats 4 (niveau de gravité :
High), type de ressource :Compute, projet :Project_2
- Résultats 4 (niveau de gravité :
Étape suivante
- En savoir plus sur les alertes dans le Google SecOps dans la documentation Google Cloud.