本文档介绍了如何在 Security Command Center 的企业层级中将发现结果分组为案例。
概览
发现结果分组机制会自动将注入的结果分组到案例中。默认情况下,此分组机制可确保案例中的所有发现结果都属于同一项:
- 资源所有者
- Google Cloud 项目
- AWS 账号
- 资源类型
- 类别
- 严重级别
配置分组设置
如需配置适用于所有提取的发现结果的默认分组设置,请按照以下步骤操作:
在 Security Operations 控制台中,转到设置 > 提取 > 连接器。
选择 SCC Enterprise - Urgent Posture Findings Connector。
如需自定义分组机制并停用特定分组选项,请取消选中以下一个或多个参数的复选框:
Group by AWS Account
Group by GCP Project
Group by Severity
Group by Asset Type
默认情况下,以下分组设置适用于提取的发现结果:
按 AWS 帐号分组:根据发现结果所属的 AWS 帐号对发现结果进行分组。
按 GCP 项目分组:根据发现结果所属的 Google Cloud 项目对发现结果进行分组。
按严重性分组:发现结果按
severity
级别(例如HIGH
或MEDIUM
)进行分组。按资产类型分组:系统将根据资产类型(Google Cloud 资源类型)(例如 Compute Engine 实例或 IAM 服务帐号)对发现结果进行分组。
分组到一个案例中的所有发现结果都属于同一所有者。为确保对发现结果正确分组,包括未继承的 Google Cloud 标记或重要联系人的发现结果,请务必配置连接器 Fallback Owner
参数。
示例:分组机制的工作原理
此示例仅使用来自 Google Cloud 的发现结果。
该连接器会注入从其各自的 Google Cloud 资源继承而来的四个具有不同严重级别和不同值的发现结果:
发现结果 1:严重级别:Critical
,资源类型:Compute
,项目:Project_1
发现结果 2:严重级别:Critical
,资源类型:IAM
,项目:Project_2
发现结果 3:严重级别:High
,资源类型:Compute
,项目:Project_1
发现结果 4:严重级别:High
,资源类型:Compute
,项目:Project_2
默认分组机制
默认设置意味着发现结果会根据各自的项目、资产类型和严重级别属性进行分组。
在此示例中,每项发现结果都包含在不同的案例中。
情况 1:
- 发现结果 1:严重级别:
Critical
;资源类型:Compute
,项目:Project_1
- 发现结果 1:严重级别:
情况 2:
- 发现结果 2:严重级别:
Critical
,资源类型:IAM
,项目:Project_2
- 发现结果 2:严重级别:
情况 3:
- 发现结果 3:严重级别:
High
,资源类型:Compute
,项目:Project_1
- 发现结果 3:严重级别:
情况 4:
- 发现结果 4:严重级别:
High
,资源类型:Compute
,项目:Project_2
- 发现结果 4:严重级别:
自定义分组机制
仅选中按 GCP 项目分组 (Group by GCP Project) 复选框会根据其 Google Cloud 项目自动对发现结果进行分组,以便案例仅包含属于同一项目发现结果:
情况 1:
- 发现结果 1:严重级别为
Critical
,资源类型:Compute
,项目:Project_1
- 发现结果 3:严重级别为
High
,资源类型:Compute
,项目:Project_1
- 发现结果 1:严重级别为
情况 2:
- 发现结果 2:严重级别为
Critical
,资源类型:IAM
,项目:Project_2
- 发现结果 4:严重级别为
High
,资源类型:Compute
,项目:Project_2
- 发现结果 2:严重级别为
仅选中按严重性分组复选框后,系统会根据严重性自动对发现结果进行分组,以便案例仅包含具有相同严重级别的发现结果:
情况 1:
- 发现结果 1:严重级别:
Critical
,资源类型:Compute
,项目:Project_1
- 发现结果 2:严重级别:
Critical
,资源类型:IAM
,项目:Project_2
- 发现结果 1:严重级别:
情况 2:
- 发现结果 3:严重级别:
High
,资源类型:Compute
,项目:Project_1
- 发现结果 4:严重级别:
High
,资源类型:Compute
,项目:Project_2
- 发现结果 3:严重级别:
仅选中 Group by Asset Type 复选框后,系统会根据发现结果的资产类型(Google Cloud 中的资源类型)自动对发现结果进行分组,以使案例仅包含属于同一资源的发现结果:
情况 1:
- 发现结果 1:严重级别:
Critical
,资源类型:Compute
,项目:Project_1
- 发现结果 3:严重级别:
High
,资源类型:Compute
,项目:Project_1
- 发现结果 4:严重级别:
High
,资源类型:Compute
,项目:Project_2
- 发现结果 1:严重级别:
情况 2:
- 发现结果 2:严重级别:
Critical
,资源类型:IAM
,项目:Project_2
- 发现结果 2:严重级别:
选中按 GCP 项目分组和按严重级别分组复选框会自动根据各自的项目和严重级别对发现结果进行分组,以使案例仅包含属于同一项目且具有相同严重性的发现结果。在此示例中,连接器会创建以下四种情况:
情况 1:
- 发现结果 1:严重级别:
Critical
,资源类型:Compute
,项目:Project_1
- 发现结果 1:严重级别:
情况 2:
- 发现结果 2:严重级别:
Critical
,资源类型:IAM
,项目:Project_2
- 发现结果 2:严重级别:
情况 3:
- 发现结果 3:严重级别:
High
,资源类型:Compute
,项目:Project_1
- 发现结果 3:严重级别:
情况 4:
- 发现结果 4:严重级别:
High
,资源类型:Compute
,项目:Project_2
- 发现结果 4:严重级别:
后续步骤
- 如需详细了解提醒,请参阅 Google SecOps 文档。