Agrupar los hallazgos en los casos

En este documento, se explica cómo puedes agrupar los hallazgos en casos en el nivel empresarial de Security Command Center.

Descripción general

El mecanismo de agrupación de hallazgos agrupa automáticamente los hallazgos transferidos en casos. De forma predeterminada, este mecanismo de agrupación garantiza que todos los resultados de un caso pertenezcan a los mismos:

  • Propietario del recurso
  • Proyecto de Google Cloud
  • Cuenta de AWS
  • Tipo de recurso
  • Categoría
  • Nivel de gravedad

Define la configuración de agrupación

Para establecer la configuración de agrupación predeterminada que se aplica a todos los resultados transferidos, sigue estos pasos:

  1. En la consola de operaciones de seguridad, ve a Configuración > Transferencia > Conectores.

  2. Selecciona SCC Enterprise - Urgent Posture Findings Connector.

  3. Para personalizar el mecanismo de agrupación y, además, inhabilitar opciones de agrupación específicas, desmarca las casillas de verificación de uno o más de los siguientes parámetros:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

De forma predeterminada, la siguiente configuración de agrupación se aplica a los resultados transferidos:

  • Agrupa por cuenta de AWS: Los resultados se agrupan de acuerdo con las cuentas de AWS a las que pertenecen.

  • Agrupar por proyecto de GCP: Los resultados se agrupan de acuerdo con los proyectos de Google Cloud a los que pertenecen.

  • Agrupar por gravedad: Los resultados se agrupan según su nivel de severity, como HIGH o MEDIUM.

  • Agrupa por tipo de recurso: Los resultados se agrupan según su tipo de recurso (tipo de recurso de Google Cloud), como instancia de Compute Engine o cuenta de servicio de IAM.

Todos los hallazgos agrupados en un caso pertenecen al mismo propietario. Para asegurarte de que los resultados estén agrupados de forma correcta, incluidos los resultados sin etiquetas de Google Cloud heredadas o contactos esenciales, siempre configura el parámetro de conector Fallback Owner.

Ejemplo: Cómo funciona el mecanismo de agrupación

En este ejemplo, solo se usan los hallazgos de Google Cloud.

El conector transfiere cuatro hallazgos con diferentes gravedades y diferentes valores heredados de sus respectivos recursos de Google Cloud:

Resultado 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1

Resultado 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2

Resultado 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1

Resultado 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2

Mecanismo de agrupación predeterminado

La configuración predeterminada significa que los resultados se agrupan según sus respectivos proyectos, tipos de recursos y propiedad de gravedad.

En este ejemplo, cada hallazgo está incluido en un caso diferente.

  • Caso 1:

    • Resultado 1: Gravedad: Critical, Tipo de activo: Compute, Proyecto: Project_1
  • Caso 2:

    • Resultado 2: Gravedad: Critical, Tipo de activo: IAM, Proyecto: Project_2
  • Caso 3:

    • Resultado 3: Gravedad: High, Tipo de activo: Compute, Proyecto: Project_1
  • Caso 4:

    • Resultado 4: Gravedad: High, Tipo de activo: Compute, Proyecto: Project_2

Mecanismo de agrupación personalizada

Si seleccionas solo la casilla de verificación Agrupar por proyecto de GCP, se agrupan automáticamente los resultados según sus proyectos de Google Cloud, de manera que un caso solo contenga los resultados que pertenecen al mismo proyecto:

  • Caso 1:

    • Resultado 1: Gravedad Critical, Tipo de recurso: Compute, Proyecto: Project_1
    • Resultado 3: Gravedad High, Tipo de recurso: Compute, Proyecto: Project_1
  • Caso 2:

    • Resultado 2: Gravedad Critical, Tipo de recurso: IAM, Proyecto: Project_2
    • Resultado 4: Gravedad High, Tipo de recurso: Compute, Proyecto: Project_2

Si seleccionas solo la casilla de verificación Agrupar por gravedad, se agrupan automáticamente los resultados según su gravedad, de manera que un caso solo contenga resultados con el mismo nivel de gravedad:

  • Caso 1:

    • Resultado 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1
    • Resultado 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2
  • Caso 2:

    • Resultado 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1
    • Resultado 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2

Si seleccionas solo la casilla de verificación Agrupar por tipo de recurso, se agrupan automáticamente los resultados según sus tipos de recursos (tipos de recursos en Google Cloud) para que un caso solo contenga resultados que pertenezcan al mismo recurso:

  • Caso 1:

    • Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1
    • Resultado 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1
    • Resultado 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2
  • Caso 2:

    • Resultado 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2

Si seleccionas las casillas de verificación Agrupar por proyecto de GCP y Agrupar por gravedad, se agrupan automáticamente los resultados según sus respectivos proyectos y niveles de gravedad, de modo que un caso solo contenga resultados que pertenezcan al mismo proyecto y tengan la misma gravedad. En este ejemplo, el conector crea los siguientes cuatro casos:

  • Caso 1:

    • Resultado 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1
  • Caso 2:

    • Resultado 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2
  • Caso 3:

    • Resultado 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1
  • Caso 4:

    • Resultado 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2

Próximos pasos

  • Obtén más información sobre las alertas en la documentación de Google SecOps.