Questo documento spiega come raggruppare i risultati in casi nel livello Enterprise di Security Command Center.
Panoramica
Il meccanismo di raggruppamento dei risultati raggruppa automaticamente i risultati importati in casi. Per impostazione predefinita, questo meccanismo di raggruppamento garantisce che tutti i risultati di una richiesta appartengano allo stesso:
- Proprietario risorsa
- Progetto Google Cloud
- Account AWS
- Tipo di asset
- Categoria
- Livello di gravità
Configura le impostazioni di raggruppamento
Per configurare le impostazioni di raggruppamento predefinite applicabili a tutti i risultati importati:
Nella console Security Operations, vai a Impostazioni > Importazione > Connettori.
Seleziona Connettore SCC Enterprise - Urgent Posture Findings.
Per personalizzare il meccanismo di raggruppamento e disattivare opzioni di raggruppamento specifiche, deseleziona le caselle di controllo per uno o più dei seguenti parametri:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Per impostazione predefinita, ai risultati importati vengono applicate le seguenti impostazioni di raggruppamento:
Raggruppa per account AWS: i risultati vengono raggruppati in base agli account AWS a cui appartengono.
Raggruppa per progetto Google Cloud: i risultati vengono raggruppati in base ai progetti Google Cloud a cui appartengono.
Raggruppa per gravità: i risultati vengono raggruppati in base al loro
severitylivello, comeHIGHoMEDIUM.Raggruppa per tipo di asset: i risultati vengono raggruppati in base al tipo di asset (tipo di risorsa di Google Cloud), ad esempio istanza Compute Engine o account di servizio IAM.
Tutti i risultati raggruppati in una richiesta appartengono allo stesso proprietario. Per assicurarti che i risultati vengano raggruppati correttamente, inclusi quelli senza tag Google Cloud o contatti fondamentali ereditati, configura sempre il parametro Fallback Owner del connettore.
Esempio: come funziona il meccanismo di raggruppamento
In questo esempio vengono utilizzati solo i risultati di Google Cloud.
Il connettore acquisisce quattro risultati con severità diverse e valori diversi ereditati dalle rispettive risorse Google Cloud:
Risultato 1: gravità: Critical, tipo di asset: Compute, progetto: Project_1
Risultato 2: gravità: Critical, tipo di asset: IAM, progetto: Project_2
Risultato 3: gravità: High, tipo di asset: Compute, progetto: Project_1
Risultato 4: Gravità: High, Tipo di asset: Compute, Progetto: Project_2
Meccanismo di raggruppamento predefinito
Le impostazioni predefinite indicano che i risultati sono raggruppati in base ai rispettivi progetti, tipi di asset e proprietà di gravità.
In questo esempio, ogni risultato è incluso in una richiesta diversa.
Caso 1:
- Risultato 1: gravità:
Critical, tipo di asset:Compute, Progetto:Project_1
- Risultato 1: gravità:
Caso 2:
- Risultato 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2
- Risultato 2: gravità:
Caso 3:
- Risultato 3: gravità:
High, tipo di asset:Compute, progetto:Project_1
- Risultato 3: gravità:
Caso 4:
- Risultato 4: Gravità:
High, Tipo di asset:Compute, Progetto:Project_2
- Risultato 4: Gravità:
Meccanismo di raggruppamento personalizzato
Se selezioni solo la casella di controllo Raggruppa per progetto Google Cloud, i risultati vengono raggruppati automaticamente in base ai progetti Google Cloud in modo che una richiesta contenga solo i risultati appartenenti allo stesso progetto:
Caso 1:
- Risultato 1: gravità
Critical, tipo di asset:Compute, progetto:Project_1 - Risultato 3: gravità
High, tipo di asset:Compute, progetto:Project_1
- Risultato 1: gravità
Caso 2:
- Risultato 2: gravità
Critical, tipo di asset:IAM, progetto:Project_2 - Risultato 4: gravità
High, tipo di asset:Compute, progetto:Project_2
- Risultato 2: gravità
Se selezioni solo la casella di controllo Raggruppa per gravità, i risultati vengono raggruppati automaticamente in base alla gravità in modo che una richiesta contenga solo risultati con lo stesso livello di gravità:
Caso 1:
- Risultato 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1 - Risultato 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2
- Risultato 1: gravità:
Caso 2:
- Risultato 3: gravità:
High, tipo di asset:Compute, progetto:Project_1 - Risultato 4: gravità:
High, tipo di asset:Compute, progetto:Project_2
- Risultato 3: gravità:
Se selezioni solo la casella di controllo Raggruppa per tipo di asset, i risultati vengono raggruppati automaticamente in base ai relativi tipi di asset (tipi di risorsa in Google Cloud) in modo che una richiesta contenga solo i risultati appartenenti alla stessa risorsa:
Caso 1:
- Risultato 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1 - Risultato 3: gravità:
High, tipo di asset:Compute, progetto:Project_1 - Risultato 4: Gravità:
High, Tipo di asset:Compute, Progetto:Project_2
- Risultato 1: gravità:
Caso 2:
- Risultato 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2
- Risultato 2: gravità:
Se selezioni entrambe le caselle di controllo Raggruppa per progetto Google Cloud e Raggruppa per gravità, i risultati vengono raggruppati automaticamente in base ai rispettivi progetti e livelli di gravità, in modo che una richiesta contenga solo i risultati appartenenti allo stesso progetto e con la stessa gravità. In questo esempio, il connettore crea quattro casi seguenti:
Caso 1:
- Risultato 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1
- Risultato 1: gravità:
Caso 2:
- Risultato 2: gravità
Critical, tipo di risorsaIAM, progetto:Project_2
- Risultato 2: gravità
Caso 3:
- Risultato 3: gravità:
High, tipo di risorsa:Compute, progetto:Project_1
- Risultato 3: gravità:
Caso 4:
- Risultato 4: gravità:
High, tipo di risorsa:Compute, progetto:Project_2
- Risultato 4: gravità:
Passaggi successivi
- Scopri di più sugli avvisi nella documentazione di Google SecOps.