在支持请求中对发现结果进行分组

本文档介绍了如何在 Enterprise 中对发现结果进行分组 Security Command Center 层级。

概览

发现结果分组机制会自动将提取的发现结果分组为案例。默认情况下,这种分组机制可确保支持请求中的所有发现结果 都属于同一个实例:

  • 资源所有者
  • Google Cloud 项目
  • AWS 账号
  • 资源类型
  • 类别
  • 严重级别

配置分组设置

如需配置适用于所有提取的发现的默认分组设置,请按以下步骤操作:

  1. 在 Security Operations 控制台中,转到设置 > 提取 > 连接器

  2. 选择 SCC Enterprise - Urgent Posture Findings Connector

  3. 若要自定义分组机制并停用特定分组选项, 清除以下一个或多个参数的复选框:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

默认情况下,以下分组设置适用于提取的发现结果:

  • 按 AWS 账号分组:根据 AWS 账号对发现结果进行分组 所属的项目。

  • 按 GCP 项目分组:根据发现结果所属的 Google Cloud 项目对其进行分组。

  • 按严重级别分组:发现结果会按 severity级别(例如 HIGHMEDIUM)进行分组。

  • 按资产类型分组:发现结果会根据资产进行分组 类型(Google Cloud 资源类型)、 例如 Compute Engine 实例或 IAM 服务账号

分组到案例中的所有发现结果都属于同一所有者。为确保正确对发现结果进行分组(包括没有继承的 Google Cloud 代码或重要联系人的发现结果),请始终配置连接器 Fallback Owner 参数。

示例:分组机制的运作方式

此示例仅使用来自 Google Cloud 的发现结果。

该连接器会提取四项来自各自 Google Cloud 资源的严重程度和值不同的发现:

发现结果 1:严重级别:Critical,资源类型:Compute,项目:Project_1

发现结果 2:严重级别:Critical,资源类型:IAM,项目:Project_2

发现结果 3:严重级别:High,资源类型:Compute,项目:Project_1

问题 4:严重程度:High,资源类型:Compute,项目:Project_2

默认分组机制

默认设置表示发现结果会按各自的项目、资产类型和严重级别属性进行分组。

在此示例中,每个发现都包含在不同的支持请求中。

  • 示例 1:

    • 发现结果 1:严重级别:Critical;资源类型:Compute; 项目:Project_1

  • 情况 2:

    • 发现结果 2:严重级别:Critical,资源类型:IAM,项目: Project_2

  • 情况 3:

    • 发现结果 3:严重级别:High,资源类型:Compute,项目: Project_1

  • 示例 4:

    • 发现结果 4:严重级别:High,资源类型:Compute,项目: Project_2

自定义分组机制

如果仅选中按 GCP 项目分组复选框,系统会自动按 Google Cloud 项目对问题进行分组,以便一个支持请求仅包含属于同一项目的问题:

  • 情况 1:

    • 发现 1:严重程度 Critical,资源类型:Compute,项目:Project_1
    • 发现结果 3:严重级别为 High,资源类型:Compute,项目: Project_1

  • 示例 2:

    • 发现结果 2:严重级别为 Critical,资源类型:IAM,项目: Project_2
    • 问题 4:严重程度 High,资源类型:Compute,项目:Project_2

仅选中按严重程度分组复选框即可自动按严重程度对发现结果进行分组,以便一个支持请求仅包含严重程度相同的发现结果:

  • 情况 1:

    • 发现结果 1:严重级别:Critical,资源类型:Compute,项目: Project_1
    • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2

  • 情况 2:

    • 发现结果 3:严重级别:High,资源类型:Compute,项目: Project_1
    • 问题 4:严重程度:High、资源类型:Compute、项目:Project_2

仅选中按资产类型分组复选框即可自动按资产类型(Google Cloud 中的资源类型)对发现结果进行分组,以便一个支持请求仅包含属于同一资源的发现结果:

  • 情况 1:

    • 发现结果 1:严重程度:Critical,资源类型:Compute,项目:Project_1
    • 发现结果 3:严重级别:High,资源类型:Compute,项目: Project_1
    • 问题 4:严重程度:High,资源类型:Compute,项目:Project_2

  • 情况 2:

    • 发现结果 2:严重级别:Critical,资源类型:IAM,项目: Project_2

选中 Group by GCP ProjectGroup by Severity 复选框 根据各自的项目和严重性自动对发现结果进行分组 以使案例仅包含属于同一项目的发现结果并且 具有同样的严重性。在此示例中,该连接器创建了四个 以下情况:

  • 示例 1:

    • 发现 1:严重程度:Critical,资源类型:Compute,项目:Project_1

  • 示例 2:

    • 发现 2:严重程度:Critical,资源类型:IAM,项目:Project_2

  • 示例 3:

    • 发现结果 3:严重级别:High,资源类型:Compute,项目: Project_1

  • 情况 4:

    • 发现结果 4:严重级别:High,资源类型:Compute,项目: Project_2

后续步骤

  • 如需详细了解提醒,请参阅 Google SecOps 文档。