ケースの検出結果をグループ化する

このドキュメントでは、Security Command Center の Enterprise ティアで検出結果をケースにグループ化する方法について説明します。

概要

検出結果のグループ化メカニズムにより、取り込まれた検出結果が自動的にケースにグループ化されます。デフォルトでは、このグループ化メカニズムにより、ケース内のすべての検出結果が同じものに属します。

  • リソースのオーナー
  • Google Cloud プロジェクト
  • AWS アカウント
  • アセットタイプ
  • カテゴリ
  • 重大度

グループ化の設定を構成する

取り込まれたすべての検出結果に適用されるデフォルトのグループ化設定を構成する手順は次のとおりです。

  1. セキュリティ運用コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。

  2. [SCC Enterprise - Urgent Posture Findings Connector] を選択します。

  3. グループ化メカニズムをカスタマイズして特定のグループ化オプションを無効にするには、次のいずれかのパラメータのチェックボックスをオフにします。

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

デフォルトでは、取り込まれた検出結果には次のグループ化設定が適用されます。

  • AWS アカウント別にグループ化: 検出結果が属する AWS アカウントに従ってグループ化されます。

  • GCP プロジェクト別にグループ化: 検出結果が属する Google Cloud プロジェクトに従ってグループ化されます。

  • 重大度別にグループ化: 検出結果は、HIGHMEDIUM などの severity レベルに従ってグループ化されます。

  • アセットタイプ別にグループ化: 検出結果は、Compute Engine インスタンスや IAM サービス アカウントなどのアセットタイプ(Google Cloud リソースタイプ)に従ってグループ化されます。

ケースにグループ化された検出結果はすべて、同じオーナーに属します。継承された Google Cloud タグや重要な連絡先のない検出結果も含め、検出結果が正しくグループ化されるように、必ずコネクタの Fallback Owner パラメータを構成してください。

例: グループ化メカニズムの仕組み

この例では、Google Cloud の検出結果のみが使用されます。

コネクタは、重大度が異なり、それぞれの Google Cloud リソースから継承される値が異なる 4 つの検出結果を取り込みます。

検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1

検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1

検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

デフォルトのグループ化メカニズム

デフォルト設定では、検出結果はそれぞれのプロジェクト、アセットタイプ、重大度プロパティに従ってグループ化されます。

この例では、すべての検出結果が異なるケースに含まれています。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
  • ケース 2:

    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2
  • ケース 3:

    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
  • ケース 4:

    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

カスタム グループ化メカニズム

[GCP プロジェクトでグループ化] チェックボックスのみを選択すると、Google Cloud プロジェクトに従って検出結果が自動的にグループ化され、ケースに同じプロジェクトに属する検出結果のみが含まれます。

  • ケース 1:

    • 検出結果 1: 重大度 Critical、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 3: 重大度 High、アセットタイプ: Compute、プロジェクト: Project_1
  • ケース 2:

    • 検出結果 2: 重大度 Critical、アセットタイプ: IAM、プロジェクト: Project_2
    • 検出結果 4: 重大度 High、アセットタイプ: Compute、プロジェクト: Project_2

[重大度によるグループ化] チェックボックスのみを選択すると、検出結果が重大度に従って自動的にグループ化され、ケースに同じ重大度の検出結果のみが含まれるようになります。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2
  • ケース 2:

    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

[アセットタイプによるグループ化] チェックボックスのみを選択すると、アセットタイプ(Google Cloud のリソースタイプ)に従って検出結果が自動的にグループ化され、ケースに同じリソースに属する検出結果のみが含まれます。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2
  • ケース 2:

    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

[GCP プロジェクトでグループ化] と [重大度によるグループ化] の両方のチェックボックスをオンにすると、それぞれのプロジェクトと重大度レベルに従って検出結果が自動的にグループ化され、ケースには同じプロジェクトに所属、かつ 同じ重大度を持つ検出結果のみが含まれるようになります。この例では、コネクタによって次の 4 つのケースが作成されます。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
  • ケース 2:

    • 検出結果 2: 重大度: Critical、リソースタイプ: IAM、プロジェクト: Project_2
  • ケース 3:

    • 検出結果 3: 重大度: High、リソースタイプ: Compute、プロジェクト: Project_1
  • ケース 4:

    • 検出結果 4: 重大度: High、リソースタイプ: Compute、プロジェクト: Project_2

次のステップ

  • アラートの詳細について、Google SecOps ドキュメントを確認する。