En este documento, se explica cómo puedes agrupar los resultados en casos en el nivel Enterprise de Security Command Center.
Descripción general
El mecanismo de agrupación de resultados agrupa automáticamente los resultados transferidos en casos. De forma predeterminada, este mecanismo de agrupación garantiza que todos los resultados de un caso pertenezcan a la misma:
- Propietario del recurso
- Proyecto de Google Cloud
- Cuenta de AWS
- Tipo de recurso
- Categoría
- Nivel de gravedad
Cómo configurar los parámetros de agrupación
Para establecer la configuración de agrupación predeterminada que se aplica a todos los resultados transferidos, sigue estos pasos:
En la consola de Operaciones de seguridad, ve a Configuración > Transferencia > Conectores.
Selecciona SCC Enterprise - Urgent Posture Findings Connector.
Para personalizar el mecanismo de agrupación e inhabilitar opciones de agrupación específicas, desmarca las casillas de verificación de uno o más de los siguientes parámetros:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
De forma predeterminada, se aplica la siguiente configuración de agrupación a los resultados transferidos:
Agrupa por cuenta de AWS: Los resultados se agrupan según las cuentas de AWS a las que pertenecen.
Agrupar por proyecto de GCP: Los resultados se agrupan según los proyectos de Google Cloud a los que pertenecen.
Agrupa por gravedad: Los resultados se agrupan según su nivel
severity, comoHIGHoMEDIUM.Agrupa por tipo de recurso: Los resultados se agrupan según su tipo de recurso (tipo de recurso de Google Cloud), como instancia de Compute Engine o cuenta de servicio de IAM.
Todos los resultados agrupados en un caso pertenecen al mismo propietario. Para asegurarte de que los resultados se agrupen de forma correcta, incluidos los resultados sin etiquetas heredadas de Google Cloud o contactos esenciales, siempre configura el parámetro del conector Fallback Owner.
Ejemplo: Cómo funciona el mecanismo de agrupación
En este ejemplo, solo se usan los hallazgos de Google Cloud.
El conector transfiere cuatro resultados con diferentes niveles de gravedad y diferentes valores heredados de sus respectivos recursos de Google Cloud:
Hallazgo 1: Gravedad: Critical, Tipo de recurso: Compute, Proyecto: Project_1
Hallazgo 2: Gravedad: Critical, Tipo de recurso: IAM, Proyecto: Project_2
Hallazgo 3: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_1
Hallazgo 4: Gravedad: High, Tipo de recurso: Compute, Proyecto: Project_2
Mecanismo de agrupación predeterminado
La configuración predeterminada implica que los resultados se agrupan según sus respectivos proyectos, tipos de recursos y propiedad de gravedad.
En este ejemplo, cada hallazgo se incluye en un caso diferente.
Caso 1:
- Resultados 1: Gravedad:
Critical; Tipo de recurso:Compute; Proyecto:Project_1
- Resultados 1: Gravedad:
Caso 2:
- Hallazgo 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Hallazgo 2: Gravedad:
Caso 3:
- Hallazgo 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1
- Hallazgo 3: Gravedad:
Caso 4:
- Hallazgo 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
- Hallazgo 4: Gravedad:
Mecanismo de agrupación personalizada
Si seleccionas solo la casilla de verificación Agrupar por proyecto de GCP, los resultados se agruparán automáticamente según sus proyectos de Google Cloud para que un caso solo contenga resultados que pertenezcan al mismo proyecto:
Caso 1:
- Hallazgo 1: Gravedad
Critical, Tipo de recurso:Compute, Proyecto:Project_1 - Hallazgo 3: Gravedad
High, Tipo de recurso:Compute, Proyecto:Project_1
- Hallazgo 1: Gravedad
Caso 2:
- Hallazgo 2: Gravedad
Critical, Tipo de recurso:IAM, Proyecto:Project_2 - Hallazgo 4: Gravedad
High, Tipo de recurso:Compute, Proyecto:Project_2
- Hallazgo 2: Gravedad
Si seleccionas solo la casilla de verificación Agrupar por gravedad, se agruparán automáticamente los resultados según su gravedad para que un caso solo contenga resultados con el mismo nivel de gravedad:
Caso 1:
- Hallazgo 1: Gravedad:
Critical, Tipo de recurso:Compute, Proyecto:Project_1 - Hallazgo 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Hallazgo 1: Gravedad:
Caso 2:
- Hallazgo 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1 - Hallazgo 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
- Hallazgo 3: Gravedad:
Si seleccionas solo la casilla de verificación Agrupar por tipo de recurso, se agruparán automáticamente los resultados según su tipo de recursos (tipos de recursos en Google Cloud) para que un caso solo contenga resultados que pertenezcan al mismo recurso:
Caso 1:
- Hallazgo 1: Gravedad:
Critical; Tipo de recurso:Compute; Proyecto:Project_1 - Hallazgo 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1 - Hallazgo 4: Gravedad:
High; Tipo de recurso:Compute; Proyecto:Project_2
- Hallazgo 1: Gravedad:
Caso 2:
- Hallazgo 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Hallazgo 2: Gravedad:
Si seleccionas las casillas de verificación Agrupar por proyecto de GCP y Agrupar por gravedad, se agruparán automáticamente los resultados según sus respectivos proyectos y niveles de gravedad, para que un caso solo contenga resultados que pertenezcan al mismo proyecto y que posean la misma gravedad. En este ejemplo, el conector crea cuatro casos siguientes:
Caso 1:
- Hallazgo 1: Gravedad:
Critical, Tipo de recurso:Compute, Proyecto:Project_1
- Hallazgo 1: Gravedad:
Caso 2:
- Hallazgo 2: Gravedad:
Critical, Tipo de recurso:IAM, Proyecto:Project_2
- Hallazgo 2: Gravedad:
Caso 3:
- Hallazgo 3: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_1
- Hallazgo 3: Gravedad:
Caso 4:
- Hallazgo 4: Gravedad:
High, Tipo de recurso:Compute, Proyecto:Project_2
- Hallazgo 4: Gravedad:
Próximos pasos
- Obtén más información sobre las alertas en la documentación de Google SecOps.