In diesem Dokument wird erläutert, wie Sie Ergebnisse in der Enterprise-Klasse Stufe von Security Command Center.
Übersicht
Der Mechanismus zur Gruppierung von Ergebnissen gruppiert aufgenommene Ergebnisse automatisch in Fälle. Standardmäßig sorgt dieser Gruppierungsmechanismus dafür, dass alle Ergebnisse in einem Fall zu denselben gehören:
- Ressourceninhaber
- Google Cloud-Projekt
- AWS-Konto
- Asset-Typ
- Kategorie
- Wichtigkeitsstufe
Gruppierungseinstellungen konfigurieren
So konfigurieren Sie die Standardgruppierungseinstellungen, die für alle aufgenommenen Ergebnisse gelten:
Gehen Sie in der Security Operations-Konsole zu Einstellungen > Datenaufnahme. > Connectors.
Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus.
Wenn Sie den Gruppierungsmechanismus anpassen und bestimmte Gruppierungsoptionen deaktivieren möchten, entfernen Sie das Häkchen aus den Kästchen für einen oder mehrere der folgenden Parameter:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Standardmäßig gelten für aufgenommene Ergebnisse die folgenden Gruppierungseinstellungen:
Nach AWS-Konto gruppieren: Die Ergebnisse werden nach den zugehörigen AWS-Konten gruppiert.
Nach GCP-Projekt gruppieren: Die Ergebnisse werden nach den zugehörigen Google Cloud-Projekten gruppiert.
Nach Schweregrad gruppieren: Die Ergebnisse werden nach ihrem
severityLevel gruppiert, z. B.HIGHoderMEDIUM.Nach Asset-Typ gruppieren: Die Ergebnisse werden nach Asset gruppiert. type (Google Cloud-Ressourcentyp) wie die Compute Engine-Instanz oder das IAM-Dienstkonto.
Alle in einem Fall zusammengefassten Ergebnisse gehören demselben Inhaber. Um sicherzustellen,
dass Ergebnisse korrekt gruppiert sind, einschließlich Ergebnissen ohne übernommene
„Google Cloud-Tags“ oder „Wichtige Kontakte“. Konfigurieren Sie immer die
Connector-Fallback Owner-Parameter.
Beispiel: Funktionsweise des Gruppierungsmechanismus
In diesem Beispiel werden nur Ergebnisse aus Google Cloud verwendet.
Der Connector nimmt vier Ergebnisse mit unterschiedlichem Schweregrad auf und verschiedene Werte, die von ihren jeweiligen Google Cloud-Ressourcen übernommen werden:
Ergebnis 1: Schwere: Critical, Asset-Typ: Compute, Projekt: Project_1
Ergebnis 2: Schweregrad: Critical, Asset-Typ: IAM, Projekt: Project_2
Befund 3: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_1
Ergebnis 4: Schweregrad: High, Asset-Typ: Compute, Projekt: Project_2
Standard-Gruppierungsmechanismus
Standardeinstellungen bedeuten, dass die Ergebnisse nach ihren jeweiligen Projekten, Asset-Typen und Schweregradeigenschaft.
In diesem Beispiel ist jedes Ergebnis in einem anderen Fall enthalten.
Fall 1:
- Ergebnis 1: Schweregrad:
Critical, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Fall 3:
- Befund 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1
- Befund 3: Schweregrad:
Fall 4:
- Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 4: Schweregrad:
Benutzerdefinierter Gruppierungsmechanismus
Wenn Sie nur das Kästchen Nach GCP-Projekt gruppieren anklicken, werden die Ergebnisse automatisch gruppiert. entsprechend ihren Google Cloud-Projekten angepasst, sodass ein Fall nur Ergebnisse enthält, zum selben Projekt gehören:
Fall 1:
- Ergebnis 1: Schweregrad
Critical, Asset-Typ:Compute, Projekt:Project_1 - Befund 3: Schwere
High, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schweregrad
Fall 2:
- Befund 2: Schwere
Critical, Asset-Typ:IAM, Projekt:Project_2 - Befund 4: Schwere
High, Asset-Typ:Compute, Projekt:Project_2
- Befund 2: Schwere
Wenn Sie nur das Kästchen Nach Schweregrad gruppieren auswählen, werden Ergebnisse automatisch gruppiert. entsprechend ihrem Schweregrad, sodass ein Fall nur Ergebnisse mit derselben Schweregrad:
Fall 1:
- Ergebnis 1: Schwere:
Critical, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 1: Schwere:
Fall 2:
- Befund 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Befund 3: Schweregrad:
Wenn Sie nur das Kästchen Nach Asset-Typ gruppieren auswählen, werden die Ergebnisse automatisch gruppiert. nach ihren Asset-Typen (Ressourcentypen in Google Cloud), sodass ein Fall enthält nur Ergebnisse, die zur selben Ressource gehören:
Fall 1:
- Ergebnis 1: Schwere:
Critical, Asset-Typ:Compute, Projekt:Project_1 - Befund 3: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_1 - Ergebnis 4: Schweregrad:
High, Asset-Typ:Compute, Projekt:Project_2
- Ergebnis 1: Schwere:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical, Asset-Typ:IAM, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Wenn Sie sowohl das Kästchen Nach GCP-Projekt gruppieren als auch das Kästchen Nach Schweregrad gruppieren auswählen, werden die Ergebnisse automatisch nach den jeweiligen Projekten und Schweregraden gruppiert. So enthält eine Anfrage nur Ergebnisse, die zum selben Projekt und zur selben Schweregradstufe gehören. In diesem Beispiel erstellt der Connector vier folgenden Fällen:
Fall 1:
- Ergebnis 1: Schwere:
Critical, Asset-Typ:Compute, Projekt:Project_1
- Ergebnis 1: Schwere:
Fall 2:
- Befund 2: Schweregrad:
Critical, Ressourcentyp:IAM, Projekt:Project_2
- Befund 2: Schweregrad:
Fall 3:
- Befund 3: Schweregrad:
High, Ressourcentyp:Compute, Projekt:Project_1
- Befund 3: Schweregrad:
Fall 4:
- Befund 4: Schweregrad:
High, Ressourcentyp:Compute, Projekt:Project_2
- Befund 4: Schweregrad:
Nächste Schritte
- Weitere Informationen zu Benachrichtigungen in den Google SecOps Dokumentation.