Dokumen ini menjelaskan cara mengelompokkan temuan ke dalam kasus di Security Command Center tingkat Perusahaan.
Ringkasan
Mekanisme pengelompokan temuan secara otomatis mengelompokkan temuan yang diserap ke dalam kasus. Secara default, mekanisme pengelompokan ini memastikan bahwa semua temuan dalam suatu kasus sama:
- Pemilik aset
- Project Google Cloud
- Akun AWS
- Jenis aset
- Kategori
- Tingkat keparahan
Mengonfigurasi setelan pengelompokan
Untuk mengonfigurasi setelan pengelompokan default yang berlaku untuk semua temuan yang diserap, ikuti langkah-langkah berikut:
Di konsol Security Operations, buka Setelan > Proses Transfer > Konektor.
Pilih SCC Enterprise - Urgent Posture Findings Connector.
Untuk menyesuaikan mekanisme pengelompokan dan menonaktifkan opsi pengelompokan tertentu, hapus kotak centang untuk satu atau beberapa parameter berikut:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Secara default, setelan pengelompokan berikut berlaku untuk temuan yang diserap:
Group by AWS Account: Temuan dikelompokkan sesuai dengan akun AWS yang mencakupnya.
Mengelompokkan berdasarkan Project GCP: Temuan dikelompokkan sesuai dengan project Google Cloud yang mencakupnya.
Mengelompokkan menurut Tingkat Keparahan: Temuan dikelompokkan sesuai dengan tingkat
severity, sepertiHIGHatauMEDIUM.Mengelompokkan berdasarkan Jenis Aset: Temuan dikelompokkan sesuai dengan jenis asetnya (jenis resource Google Cloud), seperti instance Compute Engine atau akun layanan IAM.
Semua temuan yang dikelompokkan ke dalam kasus dimiliki oleh pemilik yang sama. Untuk memastikan bahwa temuan dikelompokkan dengan benar, termasuk temuan tanpa tag Google Cloud atau Kontak Penting yang diwarisi, selalu konfigurasikan parameter Fallback Owner konektor.
Contoh: Cara kerja mekanisme pengelompokan
Dalam contoh ini, hanya temuan dari Google Cloud yang digunakan.
Konektor menyerap empat temuan dengan tingkat keparahan dan nilai berbeda yang diwarisi dari resource Google Cloud masing-masing:
Temuan 1: Tingkat keparahan: Critical, Jenis Aset: Compute, Project: Project_1
Temuan 2: Tingkat keparahan: Critical, Jenis Aset: IAM, Project: Project_2
Temuan 3: Tingkat keparahan: High, Jenis Aset: Compute, Project: Project_1
Temuan 4: Tingkat keparahan: High, Jenis Aset: Compute, Project: Project_2
Mekanisme pengelompokan default
Setelan default berarti temuan dikelompokkan sesuai dengan project, jenis aset, dan properti keparahannya masing-masing.
Dalam contoh ini, setiap temuan disertakan dalam kasus yang berbeda.
Kasus 1:
- Temuan 1: Tingkat keparahan:
Critical, Jenis Aset:Compute, Project:Project_1
- Temuan 1: Tingkat keparahan:
Kasus 2:
- Temuan 2: Tingkat keparahan:
Critical, Jenis Aset:IAM, Project:Project_2
- Temuan 2: Tingkat keparahan:
Kasus 3:
- Temuan 3: Tingkat keparahan:
High, Jenis Aset:Compute, Project:Project_1
- Temuan 3: Tingkat keparahan:
Kasus 4:
- Temuan 4: Tingkat keparahan:
High, Jenis Aset:Compute, Project:Project_2
- Temuan 4: Tingkat keparahan:
Mekanisme pengelompokan kustom
Jika hanya memilih kotak centang Group by GCP Project, temuan sesuai dengan project Google Cloud-nya secara otomatis akan dikelompokkan, sehingga kasus hanya berisi temuan dalam project yang sama:
Kasus 1:
- Temuan 1: Tingkat keparahan
Critical, Jenis Aset:Compute, Project:Project_1 - Temuan 3: Tingkat Keparahan
High, Jenis Aset:Compute, Project:Project_1
- Temuan 1: Tingkat keparahan
Kasus 2:
- Temuan 2: Tingkat Keparahan
Critical, Jenis Aset:IAM, Project:Project_2 - Temuan 4: Tingkat Keparahan
High, Jenis Aset:Compute, Project:Project_2
- Temuan 2: Tingkat Keparahan
Jika hanya kotak Kelompokkan menurut Keparahan, temuan dengan tingkat keparahan akan otomatis dikelompokkan sesuai dengan tingkat keparahannya, sehingga kasus hanya berisi temuan dengan tingkat keparahan yang sama:
Kasus 1:
- Temuan 1: Tingkat keparahan:
Critical, Jenis Aset:Compute, Project:Project_1 - Temuan 2: Tingkat keparahan:
Critical, Jenis Aset:IAM, Project:Project_2
- Temuan 1: Tingkat keparahan:
Kasus 2:
- Temuan 3: Tingkat keparahan:
High, Jenis Aset:Compute, Project:Project_1 - Temuan 4: Tingkat keparahan:
High, Jenis Aset:Compute, Project:Project_2
- Temuan 3: Tingkat keparahan:
Jika hanya mencentang kotak Group by Asset Type, temuan akan otomatis dikelompokkan sesuai dengan jenis asetnya (jenis resource di Google Cloud) sehingga kasus hanya berisi temuan yang berasal dari resource yang sama:
Kasus 1:
- Temuan 1: Tingkat keparahan:
Critical, Jenis Aset:Compute, Project:Project_1 - Temuan 3: Tingkat keparahan:
High, Jenis Aset:Compute, Project:Project_1 - Temuan 4: Tingkat keparahan:
High, Jenis Aset:Compute, Project:Project_2
- Temuan 1: Tingkat keparahan:
Kasus 2:
- Temuan 2: Tingkat keparahan:
Critical, Jenis Aset:IAM, Project:Project_2
- Temuan 2: Tingkat keparahan:
Jika Anda memilih kotak centang Group by GCP Project dan Group by Severity, penemuan akan otomatis dikelompokkan menurut project dan tingkat keparahannya, sehingga kasus hanya berisi temuan yang termasuk dalam project yang sama dan memiliki tingkat keparahan yang sama. Dalam contoh ini, konektor membuat empat kasus berikut:
Kasus 1:
- Temuan 1: Tingkat keparahan:
Critical, Jenis Aset:Compute, Project:Project_1
- Temuan 1: Tingkat keparahan:
Kasus 2:
- Temuan 2: Tingkat keparahan:
Critical, Jenis Resource:IAM, Project:Project_2
- Temuan 2: Tingkat keparahan:
Kasus 3:
- Temuan 3: Tingkat keparahan:
High, Jenis Resource:Compute, Project:Project_1
- Temuan 3: Tingkat keparahan:
Kasus 4:
- Temuan 4: Tingkat keparahan:
High, Jenis Resource:Compute, Project:Project_2
- Temuan 4: Tingkat keparahan:
Apa langkah selanjutnya?
- Pelajari pemberitahuan lebih lanjut di dokumentasi Chronicle SecOps.