对支持请求中的发现结果进行分组

本文档介绍如何将发现结果分组到相应案例中。

这些步骤通过 Security Operations 控制台页面执行。如需从 Google Cloud 控制台打开这些页面，请依次前往设置 > SOAR 设置。

概览

发现结果分组机制会自动将注入的发现结果分组到相应案例中。默认情况下，此分组机制可确保一个案例中所有发现结果的下列属性都相同：

如需配置适用于所有注入的发现结果的默认分组设置，请按以下步骤操作：

在 Security Operations 控制台中，依次前往设置 > 注入 > 连接器。
选择 SCC Enterprise - Urgent Posture Findings 连接器。
如需自定义分组机制并停用一些特定的分组选项，请取消选中以下一个或多个参数对应的复选框：
- Group by AWS Account
- Group by GCP Project
- Group by Severity
- Group by Asset Type

默认情况下，以下分组设置适用于注入的发现结果：

分组到同一案例中的所有发现结果都属于同一所有者。为确保将发现结果（包括没有继承的Google Cloud 标记或重要联系人的发现结果）正确分组，请务必配置连接器 Fallback Owner 参数。

在此示例中，仅使用来自 Google Cloud 的发现结果。

连接器会注入四项具有不同严重级别以及从其各自的 Google Cloud 资源继承了不同值的发现结果：

如果使用默认设置，发现结果会根据其各自的项目、资产类型和严重级别属性进行分组。

在此示例中，每项发现结果被分组到的案例都不同。

如果仅选中按 GCP 项目分组复选框，则系统会自动根据发现结果所属的 Google Cloud 项目对发现结果进行分组，这样，同一案例就只会包含属于同一项目的发现结果：

案例 1：
- 发现结果 1：严重级别 Critical，资产类型：Compute，项目：Project_1
- 发现结果 3：严重级别 High，资产类型：Compute，项目：Project_1
案例 2：
- 发现结果 2：严重级别 Critical，资产类型：IAM，项目：Project_2
- 发现结果 4：严重级别 High，资产类型：Compute，项目：Project_2

如果仅选中按严重级别分组复选框，则系统会自动按严重级别对发现结果进行分组，这样，同一案例就只会包含严重级别相同的发现结果：

案例 1：
- 发现结果 1：严重级别：Critical，资产类型：Compute，项目：Project_1
- 发现结果 2：严重级别：Critical，资产类型：IAM，项目：Project_2
案例 2：
- 发现结果 3：严重级别：High，资产类型：Compute，项目：Project_1
- 发现结果 4：严重级别：High，资产类型：Compute，项目：Project_2

如果仅选中按资产类型分组复选框，则系统会自动根据发现结果的资产类型（ Google Cloud中的资源类型）对发现结果进行分组，这样，同一案例就只会包含属于同一类资源的发现结果：

案例 1：
- 发现结果 1：严重级别：Critical，资产类型：Compute，项目：Project_1
- 发现结果 3：严重级别：High，资产类型：Compute，项目：Project_1
- 发现结果 4：严重级别：High，资产类型：Compute，项目：Project_2
案例 2：
- 发现结果 2：严重级别：Critical，资产类型：IAM，项目：Project_2

如果同时选中按 GCP 项目分组和按严重级别分组复选框，则系统会自动根据发现结果所属的项目及其严重级别对其进行分组，这样，同一案例就只会包含属于同一项目且严重级别相同的发现结果。在此示例中，连接器会创建以下四个案例：