In diesem Dokument wird erläutert, wie Sie Ergebnisse auf der Enterprise-Stufe von Security Command Center in Fällen gruppieren können.
Überblick
Mit dem Ergebnisgruppierungsmechanismus werden aufgenommene Ergebnisse automatisch in Fällen gruppiert. Dieser Gruppierungsmechanismus stellt standardmäßig sicher, dass alle Ergebnisse in einem Fall zum selben Ergebnis gehören:
- Ressourceninhaber
- Google Cloud-Projekt
- AWS-Konto
- Assettyp
- Kategorie
- Wichtigkeitsstufe
Gruppierungseinstellungen konfigurieren
So konfigurieren Sie die Standardgruppierungseinstellungen, die für alle aufgenommenen Ergebnisse gelten:
Rufen Sie in der Security Operations-Konsole Einstellungen > Datenaufnahme > Connectors auf.
Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus.
Wenn Sie den Gruppierungsmechanismus anpassen und bestimmte Gruppierungsoptionen deaktivieren möchten, entfernen Sie die Häkchen aus den Kästchen für einen oder mehrere der folgenden Parameter:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Standardmäßig gelten die folgenden Gruppierungseinstellungen für aufgenommene Ergebnisse:
Nach AWS-Konto gruppieren: Die Ergebnisse werden gemäß den AWS-Konten gruppiert, zu denen sie gehören.
Nach GCP-Projekt gruppieren: Die Ergebnisse werden nach den Google Cloud-Projekten gruppiert, zu denen sie gehören.
Nach Schweregrad gruppieren: Die Ergebnisse werden nach ihrer
severity-Ebene gruppiert, z. B.HIGHoderMEDIUM.Nach Asset-Typ gruppieren: Die Ergebnisse werden nach ihrem Asset-Typ (Google Cloud-Ressourcentyp) gruppiert, z. B. Compute Engine-Instanz oder IAM-Dienstkonto.
Alle Ergebnisse, die in einem Fall zusammengefasst sind, gehören demselben Inhaber. Damit Ergebnisse korrekt gruppiert werden, einschließlich Ergebnissen ohne übernommene Google Cloud-Tags oder wichtige Kontakte, müssen Sie immer den Parameter Fallback Owner des Connectors konfigurieren.
Beispiel: Funktionsweise des Gruppierungsmechanismus
In diesem Beispiel werden nur Ergebnisse aus Google Cloud verwendet.
Der Connector nimmt vier Ergebnisse mit unterschiedlichen Schweregraden und unterschiedlichen Werten auf, die von den jeweiligen Google Cloud-Ressourcen übernommen werden:
Ergebnis 1: Schweregrad: Critical, Asset-Typ: Compute, Projekt: Project_1
Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2
Ergebnis 3: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_1
Ergebnis 4: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_2
Standard-Gruppierungsmechanismus
Standardeinstellungen bedeuten, dass die Ergebnisse nach ihren jeweiligen Projekten, Asset-Typen und Schweregradattributen gruppiert werden.
In diesem Beispiel ist jedes Ergebnis in einem anderen Fall enthalten.
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Fall 3:
- Ergebnis 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 3: Schweregrad:
Fall 4:
- Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 4: Schweregrad:
Mechanismus zur benutzerdefinierten Gruppierung
Wenn Sie nur das Kästchen Nach GCP-Projekt gruppieren anklicken, werden die Ergebnisse automatisch gemäß ihren Google Cloud-Projekten gruppiert, sodass ein Fall nur Ergebnisse enthält, die zum selben Projekt gehören:
Fall 1:
- Ergebnis 1: Schweregrad
Critical, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 3: Schweregrad
High, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad
Fall 2:
- Ergebnis 2: Schweregrad
Critical, Asset-Typ:IAM, Projekt:Project_2 - Ergebnis 4: Schweregrad
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 2: Schweregrad
Wenn Sie nur das Kästchen Nach Schweregrad gruppieren auswählen, werden Ergebnisse automatisch entsprechend ihrem Schweregrad gruppiert, sodass ein Fall nur Ergebnisse mit demselben Schweregrad enthält:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 3: Schweregrad:
Wenn Sie nur das Kästchen Nach Asset-Typ gruppieren anklicken, werden die Ergebnisse automatisch entsprechend ihren Asset-Typen (Ressourcentypen in Google Cloud) gruppiert, sodass ein Fall nur Ergebnisse enthält, die zur selben Ressource gehören:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Wenn Sie die Kästchen Nach GCP-Projekt gruppieren und Nach Schweregrad gruppieren auswählen, werden Ergebnisse automatisch entsprechend den jeweiligen Projekten und Schweregraden gruppiert, sodass ein Fall nur Ergebnisse enthält, die zum selben Projekt und demselben Schweregrad gehören. In diesem Beispiel erstellt der Connector vier folgende Cases:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Ressourcentyp:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Fall 3:
- Ergebnis 3: Schweregrad:
High, Ressourcentyp:Compute, Projekt:Project_1
- Ergebnis 3: Schweregrad:
Fall 4:
- Ergebnis 4: Schweregrad:
High, Ressourcentyp:Compute, Projekt:Project_2
- Ergebnis 4: Schweregrad:
Nächste Schritte
- Weitere Informationen zu Benachrichtigungen finden Sie in der Google SecOps-Dokumentation.