Ce document explique comment regrouper les résultats par cas au niveau Entreprise de Security Command Center.
Présentation
Le mécanisme de regroupement des résultats regroupe automatiquement les résultats ingérés dans des demandes. Par défaut, ce mécanisme de regroupement garantit que tous les résultats d'une demande appartiennent au même:
- Propriétaire de la ressource
- Projet Google Cloud
- Compte AWS
- Type d'élément
- Catégorie
- Niveau de gravité
Configurer les paramètres de regroupement
Pour configurer les paramètres de regroupement par défaut applicables à tous les résultats ingérés, procédez comme suit:
Dans la console Opérations de sécurité, accédez à Paramètres > Ingestion > Connecteurs.
Sélectionnez SCC Enterprise - Connecteur de résultats de stratégie urgente.
Pour personnaliser le mécanisme de regroupement et désactiver des options de regroupement spécifiques, décochez les cases d'un ou plusieurs des paramètres suivants:
Group by AWS Account
Group by GCP Project
Group by Severity
Group by Asset Type
Par défaut, les paramètres de regroupement suivants s'appliquent aux résultats ingérés:
Group by AWS Account (Grouper par compte AWS) : les résultats sont regroupés en fonction des comptes AWS auxquels ils appartiennent.
Group by GCP Project (Grouper par projet GCP) : les résultats sont regroupés en fonction des projets Google Cloud auxquels ils appartiennent.
Grouper par gravité: les résultats sont regroupés en fonction de leur niveau
severity
, tel queHIGH
ouMEDIUM
.Grouper par type d'élément: les résultats sont regroupés en fonction de leur type d'élément (type de ressource Google Cloud), comme une instance Compute Engine ou un compte de service IAM.
Tous les résultats regroupés dans une demande appartiennent au même propriétaire. Pour vous assurer que les résultats sont regroupés correctement, y compris ceux sans tags Google Cloud hérités ni contacts essentiels, configurez toujours le paramètre Fallback Owner
du connecteur.
Exemple: Fonctionnement du mécanisme de regroupement
Dans cet exemple, seuls les résultats de Google Cloud sont utilisés.
Le connecteur ingère quatre résultats avec des gravités différentes et des valeurs différentes héritées de leurs ressources Google Cloud respectives:
Résultat 1: gravité: Critical
, type d'élément: Compute
, projet: Project_1
Résultat 2: gravité: Critical
, type d'élément: IAM
, projet: Project_2
Résultat 3: gravité: High
, type d'élément: Compute
, projet: Project_1
Résultat 4: gravité: High
, type d'élément: Compute
, projet: Project_2
Mécanisme de regroupement par défaut
Les paramètres par défaut signifient que les résultats sont regroupés en fonction de leurs projets, types d'éléments et propriétés de gravité respectifs.
Dans cet exemple, chaque résultat est inclus dans un cas différent.
Cas 1:
- Résultats 1: gravité:
Critical
, type d'élément:Compute
, projet:Project_1
- Résultats 1: gravité:
Cas 2:
- Résultats 2: gravité:
Critical
, type d'élément:IAM
, projet :Project_2
- Résultats 2: gravité:
Cas 3:
- Résultats 3: gravité:
High
, type d'élément:Compute
, projet :Project_1
- Résultats 3: gravité:
Cas 4:
- Résultats 4: gravité:
High
, type d'élément:Compute
, projet :Project_2
- Résultats 4: gravité:
Mécanisme de regroupement personnalisé
Si vous ne cochez que la case Grouper par projet GCP, les résultats sont automatiquement regroupés en fonction des projets Google Cloud correspondants. Ainsi, une demande ne contient que les résultats appartenant au même projet:
Cas 1:
- Résultat 1: gravité
Critical
, type d'élément:Compute
, projet :Project_1
- Résultat 3: gravité
High
, type d'élément:Compute
, projet :Project_1
- Résultat 1: gravité
Cas 2:
- Résultats 2: gravité
Critical
, type d'élément:IAM
, projet :Project_2
- Résultat 4: gravité
High
, type d'élément:Compute
, projet :Project_2
- Résultats 2: gravité
Si vous ne cochez que la case Grouper par gravité, les résultats sont automatiquement regroupés en fonction de leur gravité. Ainsi, une demande ne contient que les résultats présentant le même niveau de gravité:
Cas 1:
- Résultats 1: gravité:
Critical
, type d'élément:Compute
, projet :Project_1
- Résultats 2: gravité:
Critical
, type d'élément:IAM
, projet :Project_2
- Résultats 1: gravité:
Cas 2:
- Résultats 3: gravité:
High
, type d'élément:Compute
, projet :Project_1
- Résultats 4: gravité:
High
, type d'élément:Compute
, projet :Project_2
- Résultats 3: gravité:
Si vous ne cochez que la case Grouper par type d'élément, les résultats sont automatiquement regroupés en fonction de leurs types d'éléments (types de ressources dans Google Cloud). Ainsi, une demande ne contient que les résultats appartenant à la même ressource:
Cas 1:
- Résultats 1: gravité:
Critical
, type d'élément:Compute
, projet :Project_1
- Résultats 3: gravité:
High
, type d'élément:Compute
, projet :Project_1
- Résultat 4: gravité:
High
, type d'élément:Compute
, projet :Project_2
- Résultats 1: gravité:
Cas 2:
- Résultat 2: gravité:
Critical
, type d'élément:IAM
, projet :Project_2
- Résultat 2: gravité:
Les cases à cocher Grouper par projet GCP et Grouper par gravité permettent de regrouper automatiquement les résultats en fonction de leurs projets et niveaux de gravité respectifs. Ainsi, une demande ne contient que des résultats appartenant au même projet et présentant la même gravité. Dans cet exemple, le connecteur crée quatre cas de figure:
Cas 1:
- Résultats 1: gravité:
Critical
, type d'élément:Compute
, projet :Project_1
- Résultats 1: gravité:
Cas 2:
- Résultats 2: gravité:
Critical
, type de ressource:IAM
, projet :Project_2
- Résultats 2: gravité:
Cas 3:
- Résultats 3: gravité:
High
, type de ressource:Compute
, projet :Project_1
- Résultats 3: gravité:
Cas 4:
- Résultats 4: gravité:
High
, type de ressource:Compute
, projet :Project_2
- Résultats 4: gravité:
Étape suivante
- Pour en savoir plus sur les alertes, consultez la documentation Google SecOps.