ケースの検出結果をグループ化する

このドキュメントでは、Security Command Center の Enterprise ティアで検出結果をケースにグループ化する方法について説明します。

概要

検出結果のグループ化メカニズムにより、取り込まれた検出結果がケースに自動的にグループ化されます。デフォルトでは、このグループ化メカニズムにより、ケース内のすべての検出結果が同じものに属します。

リソースの所有者
Google Cloud プロジェクト
AWS アカウント
アセットタイプ
カテゴリ
重大度

グループ化の設定を構成する

取り込まれたすべての検出結果に適用されるデフォルトのグループ化設定を構成する手順は次のとおりです。

セキュリティ運用コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。
[SCC Enterprise - Urgent Posture Findings コネクタ] を選択します。
グループ化メカニズムをカスタマイズして特定のグループ化オプションを無効にするには、次のパラメータの 1 つ以上でチェックボックスをオフにします。
- Group by AWS Account
- Group by GCP Project
- Group by Severity
- Group by Asset Type

デフォルトでは、取り込まれた検出結果には次のグループ化設定が適用されます。

AWS アカウント別にグループ化: 検出結果が属する AWS アカウントに従ってグループ化されます。
GCP プロジェクトでグループ化: 検出結果が属するプロジェクトに従ってグループ化されます。 Google Cloud
重大度別にグループ化: 検出結果は、HIGH や MEDIUM などの severity レベルに従ってグループ化されます。
アセットタイプ別にグループ化: 検出結果は、Compute Engine インスタンスや IAM サービスアカウントなどのアセットタイプ（Google Cloud リソースタイプ）に従ってグループ化されます。

ケースにグループ化された検出結果はすべて、同じオーナーに属します。継承されたGoogle Cloud タグや重要な連絡先のない検出結果も含め、検出結果が正しくグループ化されるように、必ずコネクタの Fallback Owner パラメータを構成してください。

例: グループ化メカニズムの仕組み

この例では、 Google Cloud の検出結果のみが使用されます。

コネクタは、それぞれの Google Cloud リソースから継承された異なる重大度と異なる値を持つ 4 つの検出結果を取り込みます。

検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1

検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1

検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

デフォルトのグループ化メカニズム

デフォルト設定では、検出結果はそれぞれのプロジェクト、アセットタイプ、重大度プロパティに従ってグループ化されます。

この例では、すべての検出結果が異なるケースに含まれています。

ケース 1:
- 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
ケース 2:
- 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2
ケース 3:
- 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
ケース 4:
- 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

カスタムグループ化メカニズム

[GCP プロジェクトでグループ化] チェックボックスのみを選択すると、プロジェクトに従って検出結果が自動的にグループ化され、ケースに同じプロジェクトに属する検出結果のみが含まれます。 Google Cloud

ケース 1:
- 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
- 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
ケース 2:
- 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2
- 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

[重大度によるグループ化] チェックボックスのみを選択すると、検出結果が重大度に従って自動的にグループ化され、ケースに同じ重大度の検出結果のみが含まれるようになります。

ケース 1:
- 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
- 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2
ケース 2:
- 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
- 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

[アセットタイプによるグループ化] チェックボックスのみを選択すると、アセットタイプ（ Google Cloudのリソースタイプ）に従って検出結果が自動的にグループ化され、ケースに同じリソースに属する検出結果のみが含まれます。

ケース 1:
- 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
- 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
- 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2
ケース 2:
- 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

[GCP プロジェクトでグループ化] と [重大度によるグループ化] の両方のチェックボックスをオンにすると、それぞれのプロジェクトと重大度レベルに従って検出結果が自動的にグループ化され、ケースには同じプロジェクトに所属、かつ同じ重大度を持つ検出結果のみが含まれるようになります。この例では、コネクタは次の 4 つのケースを作成します。

ケース 1:
- 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
ケース 2:
- 検出結果 2: 重大度: Critical、リソースタイプ: IAM、プロジェクト: Project_2
ケース 3:
- 検出結果 3: 重大度: High、リソースタイプ: Compute、プロジェクト: Project_1
ケース 4:
- 検出結果 4: 重大度: High、リソースタイプ: Compute、プロジェクト: Project_2

次のステップ

アラートの詳細について、Google SecOps ドキュメントを確認する。