케이스로 발견 항목 그룹화

이 문서에서는 Security Command Center 엔터프라이즈 등급에서 케이스로 발견 항목을 그룹화하는 방법을 설명합니다.

개요

발견 항목 그룹화 메커니즘은 수집된 발견 항목을 케이스로 자동으로 그룹화합니다. 기본적으로 이 그룹화 메커니즘은 한 케이스에 있는 모든 발견 항목이 다음과 같은 동일 항목에 속하도록 보장합니다.

  • 리소스 소유자
  • Google Cloud 프로젝트
  • AWS 계정
  • 애셋 유형
  • 카테고리
  • 심각도 수준

그룹화 설정 구성

수집된 모든 발견 항목에 적용 가능한 기본 그룹화 설정을 구성하려면 다음 단계를 수행합니다.

  1. 보안 운영 콘솔에서 설정 > 수집 > 커넥터로 이동합니다.

  2. SCC 엔터프라이즈 - 긴급 상황 발견 항목 커넥터를 선택합니다.

  3. 그룹화 메커니즘을 맞춤설정하고 특정 그룹화 옵션을 사용 중지하려면 하나 이상의 다음 매개변수에 대해 체크박스를 해제합니다.

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

기본적으로 수집된 발견 항목에 다음 그룹화 설정이 적용됩니다.

  • AWS 계정별 그룹화: 포함된 AWS 계정에 따라 발견 항목이 그룹화됩니다.

  • GCP 프로젝트별 그룹화: 포함된 Google Cloud 프로젝트에 따라 발견 항목이 그룹화됩니다.

  • 심각도별 그룹화: HIGH 또는 MEDIUM과 같은 severity 수준에 따라 발견 항목이 그룹화됩니다.

  • 애셋 유형별 그룹화: Compute Engine 인스턴스 또는 IAM 서비스 계정과 같은 애셋 유형(Google Cloud 리소스 유형)에 따라 발견 항목이 그룹화됩니다.

케이스로 그룹화된 모든 발견 항목은 동일한 소유자에 속합니다. 발견 항목이 올바르게 그룹화되도록 하려면 상속된 Google Cloud 태그 또는 필수 연락처가 없는 발견 항목을 포함하여 항상 커넥터 Fallback Owner 매개변수를 구성합니다.

예: 그룹화 메커니즘 작동 방법

이 예시에서는 Google Cloud의 발견 항목만 사용됩니다.

커넥터는 해당 Google Cloud 리소스에서 상속된 심각도 및 값이 서로 다른 4개의 발견 항목을 수집합니다.

발견 항목 1: 심각도: Critical, 애셋 유형: Compute, 프로젝트: Project_1

발견 항목 2: 심각도: Critical, 애셋 유형: IAM, 프로젝트: Project_2

발견 항목 3: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_1

발견 항목 4: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_2

기본 그룹화 메커니즘

기본 설정에서는 발견 항목이 해당 프로젝트, 애셋 유형, 심각도 속성에 따라 그룹화됩니다.

이 예시에서는 모든 발견 항목이 서로 다른 케이스에 포함됩니다.

  • 케이스 1:

    • 발견 항목 1: 심각도: Critical, 애셋 유형: Compute, 프로젝트: Project_1

  • 케이스 2:

    • 발견 항목 2: 심각도: Critical, 애셋 유형: IAM, 프로젝트: Project_2

  • 케이스 3:

    • 발견 항목 3: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_1

  • 케이스 4:

    • 발견 항목 4: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_2

커스텀 그룹화 메커니즘

GCP 프로젝트별 그룹화 체크박스만 선택하면 해당 Google Cloud 프로젝트에 따라 발견 항목이 자동으로 그룹화되므로 케이스에 동일 프로젝트에 속하는 발견 항목만 포함됩니다.

  • 케이스 1:

    • 발견 항목 1: 심각도 Critical, 애셋 유형: Compute, 프로젝트: Project_1
    • 발견 항목 3: 심각도 High, 애셋 유형: Compute, 프로젝트: Project_1

  • 케이스 2:

    • 발견 항목 2: 심각도 Critical, 애셋 유형: IAM, 프로젝트: Project_2
    • 발견 항목 4: 심각도 High, 애셋 유형: Compute, 프로젝트: Project_2

심각도별 그룹화 체크박스만 선택하면 해당 심각도에 따라 발견 항목이 자동으로 그룹화되므로 케이스에 동일한 심각도 수준의 발견 항목만 포함됩니다.

  • 케이스 1:

    • 발견 항목 1: 심각도: Critical, 애셋 유형: Compute, 프로젝트: Project_1
    • 발견 항목 2: 심각도: Critical, 애셋 유형: IAM, 프로젝트: Project_2

  • 케이스 2:

    • 발견 항목 3: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_1
    • 발견 항목 4: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_2

애셋 유형별 그룹화 체크박스를 선택하면 애셋 유형(Google Cloud의 리소스 유형)에 따라 발견 항목이 자동으로 그룹화되므로 케이스에 동일 리소스에 속하는 발견 항목만 포함됩니다.

  • 케이스 1:

    • 발견 항목 1: 심각도: Critical, 애셋 유형: Compute, 프로젝트: Project_1
    • 발견 항목 3: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_1
    • 발견 항목 4: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_2

  • 케이스 2:

    • 발견 항목 2: 심각도: Critical, 애셋 유형: IAM, 프로젝트: Project_2

GCP 프로젝트별 그룹화심각도별 그룹화 체크박스를 모두 선택하면 해당 프로젝트 및 심각도 수준에 따라 발견 항목이 자동으로 그룹화되므로 케이스에 동일한 프로젝트에 속하고 그리고 동일한 심각도를 갖는 발견 항목만 포함됩니다. 이 예시에서 커넥터는 다음 4개의 케이스를 만듭니다.

  • 케이스 1:

    • 발견 항목 1: 심각도: Critical, 애셋 유형: Compute, 프로젝트: Project_1

  • 케이스 2:

    • 발견 항목 2: 심각도: Critical, 리소스 유형: IAM, 프로젝트: Project_2

  • 케이스 3:

    • 발견 항목 3: 심각도: High, 리소스 유형: Compute, 프로젝트: Project_1

  • 케이스 4:

    • 발견 항목 4: 심각도: High, 리소스 유형: Compute, 프로젝트: Project_2

다음 단계

  • Google SecOps 문서에서 알림 자세히 알아보기