Regrouper les résultats dans les demandes

Ce document explique comment regrouper les résultats dans des cas.

Ces étapes sont effectuées à l'aide des pages de la console Security Operations. Pour ouvrir ces pages depuis la console Google Cloud , accédez à Paramètres > Paramètres SOAR.

Présentation

Le mécanisme de regroupement des résultats regroupe automatiquement les résultats ingérés dans des cas. Par défaut, ce mécanisme de regroupement garantit que tous les résultats d'une étude appartiennent à la même catégorie :

• Propriétaire de la ressource
• Google Cloud projet
• Compte AWS
• Type d'élément
• Catégorie
• Niveau de gravité

Configurer les paramètres de regroupement

Pour configurer les paramètres de regroupement par défaut applicables à tous les résultats ingérés, procédez comme suit :

1. Dans la console Security Operations, accédez à Paramètres > Ingestion > Connecteurs.

2. Sélectionnez Connecteur SCC Enterprise – Urgent Posture Findings.

3. Pour personnaliser le mécanisme de regroupement et désactiver des options de regroupement spécifiques, décochez les cases correspondant à un ou plusieurs des paramètres suivants :

   • Group by AWS Account
   • Group by GCP Project
   • Group by Severity
   • Group by Asset Type

Par défaut, les paramètres de regroupement suivants s'appliquent aux résultats ingérés :

• Regrouper par compte AWS : les résultats sont regroupés en fonction des comptes AWS auxquels ils appartiennent.

• Regrouper par projet GCP : les résultats sont regroupés en fonction des projets Google Cloudauxquels ils appartiennent.

• Regrouper par gravité : les résultats sont regroupés en fonction de leur niveau, tel que HIGH ou MEDIUM.severity

• Regrouper par type d'actif : les résultats sont regroupés en fonction de leur type d'actif (type de ressourceGoogle Cloud ), comme une instance Compute Engine ou un compte de service IAM.

Toutes les conclusions regroupées dans un cas appartiennent au même propriétaire. Pour vous assurer que les résultats sont correctement regroupés, y compris ceux sans balisesGoogle Cloud ni contacts essentiels hérités, configurez toujours le paramètre Fallback Owner du connecteur.

Exemple : fonctionnement du mécanisme de regroupement

Dans cet exemple, seuls les résultats de Google Cloud sont utilisés.

Le connecteur ingère quatre résultats de gravité et de valeurs différentes, héritées de leurs ressources Google Cloud respectives :

• Résultat 1 : Gravité : Critical, Type de composant : Compute, Projet : Project_1

• Constat 2 : Gravité : Critical, Type de composant : IAM, Projet : Project_2

• Problème 3 : Gravité : High, Type d'asset : Compute, Projet : Project_1

• Constat 4 : Gravité : High, Type d'asset : Compute, Projet : Project_2

Mécanisme de regroupement par défaut

Les paramètres par défaut signifient que les résultats sont regroupés en fonction de leurs projets, types d'éléments et gravité respectifs.

Dans cet exemple, chaque résultat est inclus dans un cas différent.

• Cas 1 :

  • Résultat 1 : Gravité : Critical, Type de composant : Compute, Projet : Project_1

• Cas 2 :

  • Constat 2 : Gravité : Critical, Type de composant : IAM, Projet : Project_2

• Cas 3 :

  • Constat 3 : Gravité : High, Type de composant : Compute, Projet : Project_1

• Cas 4 :

  • Constat 4 : Gravité : High, Type de composant : Compute, Projet :Project_2

Mécanisme de regroupement personnalisé

Si vous ne cochez que la case Regrouper par projet GCP, les résultats sont automatiquement regroupés en fonction de leurs projets Google Cloud . Ainsi, une demande ne contient que les résultats appartenant au même projet :

• Cas 1 :

  • Résultat 1 : Gravité Critical, Type de composant : Compute, Projet : Project_1
  • Problème 3 : Gravité High, Type d'asset : Compute, Projet :Project_1

• Cas 2 :

  • Résultat 2 : Gravité Critical, Type d'asset : IAM, Projet : Project_2
  • Constat 4 : Gravité High, Type d'asset : Compute, Projet : Project_2

Si vous ne cochez que la case Regrouper par gravité, les résultats sont automatiquement regroupés en fonction de leur gravité. Une demande ne contient alors que les résultats ayant le même niveau de gravité :

• Cas 1 :

  • Résultat 1 : Gravité : Critical, Type de composant : Compute, Projet :Project_1
  • Constat 2 : Gravité : Critical, Type de composant : IAM, Projet : Project_2

• Cas 2 :

  • Constat 3 : Gravité : High, Type de composant : Compute, Projet : Project_1
  • Constat 4 : Gravité : High, Type de composant : Compute, Projet :Project_2

Si vous ne cochez que la case Regrouper par type d'élément, les résultats sont automatiquement regroupés en fonction de leur type d'élément (types de ressources dans Google Cloud). Ainsi, une demande ne contient que les résultats appartenant à la même ressource :

• Cas 1 :

  • Résultat 1 : Gravité : Critical, Type d'asset : Compute, Projet :Project_1
  • Constat 3 : Gravité : High, Type de composant : Compute, Projet :Project_1
  • Constat 4 : Gravité : High, Type de composant : Compute, Projet : Project_2

• Cas 2 :

  • Constat 2 : Gravité : Critical, Type de composant : IAM, Projet : Project_2

Si vous cochez les cases Regrouper par projet GCP et Regrouper par niveau de gravité, les résultats sont automatiquement regroupés en fonction de leurs projets et niveaux de gravité respectifs. Ainsi, une demande ne contient que les résultats appartenant au même projet et présentant le même niveau de gravité. Dans cet exemple, le connecteur crée quatre cas suivants :

• Cas 1 :

  • Résultat 1 : Gravité : Critical, Type de composant : Compute, Projet :Project_1

• Cas 2 :

  • Constat 2 : Gravité : Critical, Type de ressource : IAM, Projet : Project_2

• Cas 3 :

  • Résultat 3 : Gravité : High, Type de ressource : Compute, Projet : Project_1

• Cas 4 :

  • Résultat 4 : Gravité : High, Type de ressource : Compute, Projet : Project_2

Étape suivante

• En savoir plus sur les alertes dans la documentation Google SecOps