此页面由 Cloud Translation API 翻译。

在支持请求中对发现结果进行分组

本文档介绍了如何在 Enterprise 中对发现结果进行分组 Security Command Center 层级。

概览

发现结果分组机制会自动将注入的发现结果分组为案例默认情况下，这种分组机制可确保支持请求中的所有发现结果都属于同一个实例：

如需配置适用于所有提取的发现结果的默认分组设置，请执行以下操作：请按以下步骤操作：

在 Security Operations 控制台中，转到设置 > 提取 > 连接器。
选择 SCC Enterprise - Urgent Posture Findings Connector。
若要自定义分组机制并停用特定分组选项，清除以下一个或多个参数的复选框：
- Group by AWS Account
- Group by GCP Project
- Group by Severity
- Group by Asset Type

。

默认情况下，以下分组设置适用于提取的发现结果：

分组到一个案例中的所有发现结果都属于同一所有者。为确保发现结果是否正确分组，包括未继承的发现结果务必为 Google Cloud 代码或重要联系人配置连接器 Fallback Owner 参数。

此示例仅使用来自 Google Cloud 的发现结果。

连接器注入了四个严重程度不同的发现结果以及从各自的 Google Cloud 资源继承的不同值：

发现结果 1：严重级别：Critical，资源类型：Compute，项目：Project_1

发现结果 2：严重级别：Critical，资源类型：IAM，项目：Project_2

发现结果 3：严重级别：High，资源类型：Compute，项目：Project_1

发现结果 4：严重级别：High，资源类型：Compute，项目：Project_2

默认设置意味着发现结果会按照各自的分组项目、资源类型和严重级别属性。

在此示例中，每项发现结果都包含在不同的案例中。

仅选中 Group by GCP Project 复选框后，系统会自动对发现结果进行分组使案例仅包含发现结果属于同一项目：

情况 1：
- 发现结果 1：严重级别为 Critical，资产类型：Compute，项目： Project_1
- 发现结果 3：严重级别为 High，资源类型：Compute，项目： Project_1
情况 2：
- 发现结果 2：严重级别为 Critical，资源类型：IAM，项目： Project_2
- 发现结果 4：严重级别为 High，资源类型：Compute，项目： Project_2

仅选中按严重性分组复选框会自动将发现结果分组以便支持请求中仅包含与这些事件严重程度相同的发现结果严重级别：

情况 1：
- 发现结果 1：严重级别：Critical，资源类型：Compute，项目： Project_1
- 发现结果 2：严重级别：Critical，资源类型：IAM，项目： Project_2
情况 2：
- 发现结果 3：严重级别：High，资源类型：Compute，项目： Project_1
- 发现结果 4：严重级别：High，资源类型：Compute，项目： Project_2

仅选中 Group by Asset Type 复选框后，系统会自动对发现结果进行分组。其资产类型（Google Cloud 中的资源类型），这样便可仅包含属于同一资源的发现结果：

情况 1：
- 发现结果 1：严重级别：Critical，资源类型：Compute，项目： Project_1
- 发现结果 3：严重级别：High，资源类型：Compute，项目： Project_1
- 发现结果 4：严重级别：High，资源类型：Compute，项目： Project_2
情况 2：
- 发现结果 2：严重级别：Critical，资源类型：IAM，项目： Project_2

选中 Group by GCP Project 和 Group by Severity 复选框根据各自的项目和严重性自动对发现结果进行分组以使案例仅包含属于同一项目的发现结果并且具有同样的严重性。在此示例中，连接器创建了四个以下情况：