Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En este documento, se explica cómo puedes agrupar los hallazgos en casos.
Estos pasos se realizan con las páginas de la consola de Operaciones de seguridad.
Para abrir estas páginas desde la consola de Google Cloud , ve aConfiguración > Configuración de SOAR.
Descripción general
El mecanismo de agrupación de hallazgos agrupa automáticamente los hallazgos incorporados en casos. De forma predeterminada, este mecanismo de agrupación garantiza que todos los hallazgos de un caso pertenezcan a lo siguiente:
Propietario del recurso
Google Cloud proyecto
Cuenta de AWS
Tipo de recurso
Categoría
Nivel de gravedad
Cómo configurar los parámetros de agrupamiento
Para configurar los parámetros de configuración de agrupamiento predeterminados aplicables a todos los hallazgos transferidos, sigue estos pasos:
En la consola de Operaciones de seguridad, ve a Configuración > Ingestión
> Conectores.
Para personalizar el mecanismo de agrupación y, así, inhabilitar opciones de agrupación específicas, desmarca las casillas de verificación de uno o más de los siguientes parámetros:
Group by AWS Account
Group by GCP Project
Group by Severity
Group by Asset Type
De forma predeterminada, se aplican los siguientes parámetros de configuración de agrupación a los resultados transferidos:
Agrupar por cuenta de AWS: Los hallazgos se agrupan según las cuentas de AWS a las que pertenecen.
Agrupar por proyecto de GCP: Los hallazgos se agrupan según los proyectos a los que pertenecen. Google Cloud
Agrupar por gravedad: Los resultados se agrupan según su severitynivel, como HIGH o MEDIUM.
Agrupar por tipo de recurso: Los hallazgos se agrupan según su tipo de recurso (Google Cloud tipo de recurso), como una instancia de Compute Engine o una cuenta de servicio de IAM.
Todos los hallazgos agrupados en un caso pertenecen al mismo propietario. Para garantizar que los hallazgos se agrupen correctamente, incluidos los que no tienen etiquetasGoogle Cloud heredadas ni contactos esenciales, siempre configura el parámetro Fallback Owner del conector.
Ejemplo: Cómo funciona el mecanismo de agrupación
En este ejemplo, solo se usan los hallazgos de Google Cloud .
El conector ingiere cuatro hallazgos con diferentes niveles de gravedad y valores heredados de sus respectivos recursos Google Cloud :
Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1
Hallazgo 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2
Hallazgo 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1
Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2
Mecanismo de agrupación predeterminado
La configuración predeterminada significa que los hallazgos se agrupan según sus respectivos proyectos, tipos de recursos y propiedad de gravedad.
En este ejemplo, cada hallazgo se incluye en un caso diferente.
Caso 1:
Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1
Caso 2:
Hallazgo 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2
Caso 3:
Hallazgo 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1
Caso 4:
Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2
Mecanismo de agrupación personalizado
Si seleccionas solo la casilla de verificación Agrupar por proyecto de GCP, los hallazgos se agrupan automáticamente según sus Google Cloud proyectos, de modo que un caso solo contiene hallazgos que pertenecen al mismo proyecto:
Caso 1:
Hallazgo 1: Gravedad Critical, Tipo de recurso: Compute, Proyecto:
Project_1
Hallazgo 3: Gravedad High, Tipo de recurso: Compute, Proyecto: Project_1
Caso 2:
Hallazgo 2: Gravedad Critical, Tipo de recurso: IAM, Proyecto:
Project_2
Hallazgo 4: Gravedad High, Tipo de recurso: Compute, Proyecto:
Project_2
Si seleccionas solo la casilla de verificación Agrupar por gravedad, los resultados se agruparán automáticamente según su gravedad, de modo que un caso solo contenga resultados con el mismo nivel de gravedad:
Caso 1:
Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto:Project_1
Hallazgo 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto:Project_2
Caso 2:
Hallazgo 3: Gravedad: High, Tipo de recurso: Compute, Proyecto:Project_1
Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto:
Project_2
Si seleccionas solo la casilla de verificación Agrupar por tipo de recurso, los resultados se agruparán automáticamente según sus tipos de recursos (tipos de recursos en Google Cloud), de modo que un caso solo contenga resultados que pertenezcan al mismo recurso:
Caso 1:
Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto:
Project_1
Hallazgo 3: Gravedad: High, Tipo de recurso: Compute, Proyecto:Project_1
Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto:
Project_2
Caso 2:
Hallazgo 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto:Project_2
Si seleccionas las casillas de verificación Agrupar por proyecto de GCP y Agrupar por gravedad, los hallazgos se agruparán automáticamente según sus respectivos proyectos y niveles de gravedad, de modo que un caso solo contenga hallazgos que pertenezcan al mismo proyecto y que tengan la misma gravedad. En este ejemplo, el conector crea los siguientes cuatro casos:
Caso 1:
Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto:Project_1
Caso 2:
Hallazgo 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2
Caso 3:
Hallazgo 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1
Caso 4:
Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2
Próximos pasos
Obtén más información sobre las alertas en la documentación de Google SecOps.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers)\n\nThis document explains how you can group findings into cases.\n\nThese steps are performed using Security Operations console pages.\nTo open these pages from the Google Cloud console, go to\n**Settings \\\u003e SOAR settings**.\n\nOverview\n\nThe findings grouping mechanism automatically groups ingested findings into\ncases. By default, this grouping mechanism ensures that all findings in a case\nbelong to the same:\n\n- Resource owner\n- Google Cloud project\n- AWS account\n- Asset type\n- Category\n- Severity level\n\nConfigure grouping settings\n\nTo configure the default grouping settings applicable to all ingested findings,\nfollow these steps:\n\n1. In the Security Operations console, go to **Settings \\\u003e Ingestion\n \\\u003e Connectors**.\n\n2. Select **SCC Enterprise - Urgent Posture Findings Connector**.\n\n3. To customize the grouping mechanism and disable specific grouping options,\n clear the checkboxes for one or more of the following parameters:\n\n - `Group by AWS Account`\n - `Group by GCP Project`\n - `Group by Severity`\n - `Group by Asset Type`\n\n| **Important:** When customizing the grouping mechanism, we recommend to always select the **Group by GCP Project** and **Group by Asset Type** checkboxes and the **Group by AWS Account**, if the latter applies.\n\nBy default, the following grouping settings apply to ingested findings:\n\n- **Group by AWS Account**: Findings are grouped according to the AWS accounts\n they belong to.\n\n- **Group by GCP Project**: Findings are grouped according to the Google Cloud\n projects they belong to.\n\n- **Group by Severity** : Findings are grouped according to their `severity`\n [level](/security-command-center/docs/finding-severity-classifications),\n such as `HIGH` or `MEDIUM`.\n\n- **Group by Asset Type** : Findings are grouped according to their asset\n type (Google Cloud [resource type](/resource-manager/docs/cloud-platform-resource-hierarchy)),\n such as Compute Engine instance or IAM service account.\n\nAll findings that are grouped into a case belong to the same owner. To ensure\nthat findings are grouped correctly, including findings with no inherited\nGoogle Cloud tags or Essential Contacts, always configure the\nconnector `Fallback Owner` parameter.\n\nExample: How the grouping mechanism works\n\nIn this example, only findings from Google Cloud are used.\n\nThe connector ingests four findings with different severities\nand different values inherited from their respective Google Cloud resources:\n\n- Finding 1: Severity: `Critical`, Asset Type: `Compute`, Project: `Project_1`\n\n- Finding 2: Severity: `Critical`, Asset Type: `IAM`, Project: `Project_2`\n\n- Finding 3: Severity: `High`, Asset Type: `Compute`, Project: `Project_1`\n\n- Finding 4: Severity: `High`, Asset Type: `Compute`, Project: `Project_2`\n\nDefault grouping mechanism\n\nDefault settings mean that the findings are grouped according to their respective\nprojects, asset types, and severity property.\n\nIn this example, every finding is included in a different case.\n\n- Case 1:\n\n - Finding 1: Severity: **`Critical`** , Asset Type: **`Compute`** , Project: **`Project_1`**\n- Case 2:\n\n - Finding 2: Severity: **`Critical`** , Asset Type: **`IAM`** , Project: **`Project_2`**\n- Case 3:\n\n - Finding 3: Severity: **`High`** , Asset Type: **`Compute`** , Project: **`Project_1`**\n- Case 4:\n\n - Finding 4: Severity: **`High`** , Asset Type: **`Compute`** , Project: **`Project_2`**\n\nCustom grouping mechanism\n\nSelecting only the **Group by GCP Project** checkbox automatically groups findings\naccording to their Google Cloud projects so that a case only contains findings\nbelonging to the same project:\n\n- Case 1:\n\n - Finding 1: Severity `Critical`, Asset Type: `Compute`, Project: **`Project_1`**\n - Finding 3: Severity `High`, Asset Type: `Compute`, Project: **`Project_1`**\n- Case 2:\n\n - Finding 2: Severity `Critical`, Asset Type: `IAM`, Project: **`Project_2`**\n - Finding 4: Severity `High`, Asset Type: `Compute`, Project: **`Project_2`**\n\nSelecting only the **Group by Severity** checkbox automatically groups findings\naccording to their severities so that a case only contains findings with the same\nseverity level:\n\n- Case 1:\n\n - Finding 1: Severity: **`Critical`** , Asset Type: `Compute`, Project: `Project_1`\n - Finding 2: Severity: **`Critical`** , Asset Type: `IAM`, Project: `Project_2`\n- Case 2:\n\n - Finding 3: Severity: **`High`** , Asset Type: `Compute`, Project: `Project_1`\n - Finding 4: Severity: **`High`** , Asset Type: `Compute`, Project: `Project_2`\n\nSelecting only the **Group by Asset Type** checkbox automatically groups findings\naccording to their asset types (resource types in Google Cloud) so that a case\nonly contains findings belonging to the same resource:\n\n- Case 1:\n\n - Finding 1: Severity: `Critical`, Asset Type: **`Compute`** , Project: `Project_1`\n - Finding 3: Severity: `High`, Asset Type: **`Compute`** , Project: `Project_1`\n - Finding 4: Severity: `High`, Asset Type: **`Compute`** , Project: `Project_2`\n- Case 2:\n\n - Finding 2: Severity: `Critical`, Asset Type: **`IAM`** , Project: `Project_2`\n\nSelecting both **Group by GCP Project** and **Group by Severity** checkboxes\nautomatically groups findings according to their respective projects and severity\nlevels so that a case only contains findings belonging to the same project *and*\npossessing the same severity. In this example, the connector creates four\nfollowing cases:\n\n- Case 1:\n\n - Finding 1: Severity: **`Critical`** , Asset Type: `Compute`, Project: **`Project_1`**\n- Case 2:\n\n - Finding 2: Severity: **`Critical`** , Resource Type: `IAM`, Project: **`Project_2`**\n- Case 3:\n\n - Finding 3: Severity: **`High`** , Resource Type: `Compute`, Project: **`Project_1`**\n- Case 4:\n\n - Finding 4: Severity: **`High`** , Resource Type: `Compute`, Project: **`Project_2`**\n\nWhat's next?\n\n- Learn more about [alerts](/chronicle/docs/soar/investigate/working-with-alerts/whats-on-the-alert-overview-tab) in the Google SecOps documentation."]]
