In diesem Dokument wird erläutert, wie Sie Ergebnisse in der Enterprise-Stufe von Security Command Center in Fällen gruppieren können.
Überblick
Der Mechanismus zur Ergebnisgruppierung gruppiert aufgenommene Ergebnisse automatisch in Fällen. Dieser Gruppierungsmechanismus sorgt standardmäßig dafür, dass alle Ergebnisse in einem Fall zum selben gehören:
- Ressourceninhaber
- Google Cloud-Projekt
- AWS-Konto
- Assettyp
- Kategorie
- Wichtigkeitsstufe
Gruppierungseinstellungen konfigurieren
So konfigurieren Sie die Standardgruppierungseinstellungen, die für alle aufgenommenen Ergebnisse gelten:
Gehen Sie in der Security Operations Console zu Einstellungen > Aufnahme > Connectors.
Wählen Sie SCC Enterprise – Urgent Posture Findings Connector (SCC Enterprise – Urgent Posture Findings Connector) aus.
Wenn Sie den Gruppierungsmechanismus anpassen und bestimmte Gruppierungsoptionen deaktivieren möchten, entfernen Sie die Häkchen aus den Kästchen für einen oder mehrere der folgenden Parameter:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Standardmäßig gelten die folgenden Gruppierungseinstellungen für aufgenommene Ergebnisse:
Nach AWS-Konto gruppieren: Ergebnisse werden nach den AWS-Konten gruppiert, zu denen sie gehören.
Nach GCP-Projekt gruppieren: Die Ergebnisse werden nach den Google Cloud-Projekten gruppiert, zu denen sie gehören.
Nach Schweregrad gruppieren: Die Ergebnisse werden nach ihrer
severity-Ebene gruppiert, z. B.HIGHoderMEDIUM.Nach Asset-Typ gruppieren: Ergebnisse werden nach ihrem Asset-Typ (Google Cloud-Ressourcentyp) gruppiert, z. B. Compute Engine-Instanz oder IAM-Dienstkonto.
Alle in einem Fall gruppierten Ergebnisse gehören demselben Inhaber. Damit Ergebnisse korrekt gruppiert werden, einschließlich Ergebnisse ohne übernommene Google Cloud-Tags oder wichtige Kontakte, müssen Sie immer den Connector Fallback Owner-Parameter konfigurieren.
Beispiel: Funktionsweise des Gruppierungsmechanismus
In diesem Beispiel werden nur Ergebnisse aus Google Cloud verwendet.
Der Connector nimmt vier Ergebnisse mit unterschiedlichen Schweregraden und unterschiedlichen Werten auf, die von den jeweiligen Google Cloud-Ressourcen übernommen werden:
Ergebnis 1: Schweregrad: Critical, Asset-Typ: Compute, Projekt: Project_1
Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2
Ergebnis 3: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_1
Ergebnis 4: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_2
Standard-Gruppierungsmechanismus
Standardeinstellungen bedeuten, dass die Ergebnisse nach ihren jeweiligen Projekten, Asset-Typen und Schweregradattributen gruppiert werden.
In diesem Beispiel ist jedes Ergebnis in einem anderen Fall enthalten.
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Fall 3:
- Ergebnis 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 3: Schweregrad:
Fall 4:
- Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 4: Schweregrad:
Benutzerdefinierter Gruppierungsmechanismus
Wenn Sie nur das Kästchen Nach Google Cloud-Projekt gruppieren auswählen, werden Ergebnisse automatisch nach ihren Google Cloud-Projekten gruppiert, sodass ein Fall nur Ergebnisse enthält, die zum selben Projekt gehören:
Fall 1:
- Ergebnis 1: Schweregrad
Critical, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 3: Schweregrad
High, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad
Fall 2:
- Ergebnis 2: Schweregrad
Critical, Asset-Typ:IAM, Projekt:Project_2 - Ergebnis 4: Schweregrad
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 2: Schweregrad
Wenn Sie nur das Kästchen Nach Schweregrad gruppieren auswählen, werden Ergebnisse automatisch nach Schweregrad gruppiert, sodass ein Fall nur Ergebnisse mit demselben Schweregrad enthält:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 3: Schweregrad:
Wenn Sie nur das Kästchen Gruppieren nach Asset-Typ auswählen, werden Ergebnisse automatisch nach ihren Asset-Typen (Ressourcentypen in Google Cloud) gruppiert, sodass ein Fall nur Ergebnisse enthält, die zu derselben Ressource gehören:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Wenn Sie die Kästchen Nach GCP-Projekt gruppieren und Nach Schweregrad gruppieren auswählen, werden Ergebnisse automatisch nach Projekten und Schweregraden gruppiert, sodass ein Fall nur Ergebnisse enthält, die zum selben Projekt gehören und denselben Schweregrad haben. In diesem Beispiel erstellt der Connector vier folgende Fälle:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Ressourcentyp:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Fall 3:
- Ergebnis 3: Schweregrad:
High, Ressourcentyp:Compute, Projekt:Project_1
- Ergebnis 3: Schweregrad:
Fall 4:
- Ergebnis 4: Schweregrad:
High, Ressourcentyp:Compute, Projekt:Project_2
- Ergebnis 4: Schweregrad:
Nächste Schritte
- Weitere Informationen zu Benachrichtigungen finden Sie in der Google SecOps-Dokumentation.