本文档介绍了如何在 Enterprise 中对发现结果进行分组 Security Command Center 层级。
概览
发现结果分组机制会自动将注入的发现结果分组为 案例默认情况下,这种分组机制可确保支持请求中的所有发现结果 都属于同一个实例:
- 资源所有者
- Google Cloud 项目
- AWS 账号
- 资源类型
- 类别
- 严重级别
配置分组设置
如需配置适用于所有提取的发现结果的默认分组设置,请执行以下操作: 请按以下步骤操作:
在 Security Operations 控制台中,转到设置 > 提取 > 连接器。
选择 SCC Enterprise - Urgent Posture Findings Connector。
若要自定义分组机制并停用特定分组选项, 清除以下一个或多个参数的复选框:
Group by AWS Account
Group by GCP Project
Group by Severity
Group by Asset Type
默认情况下,以下分组设置适用于提取的发现结果:
按 AWS 账号分组:根据 AWS 账号对发现结果进行分组 所属的项目。
按 GCP 项目分组:根据 Google Cloud 对发现结果进行分组 所属的项目。
按严重级别分组:发现结果按
severity
分组 级别、 例如HIGH
或MEDIUM
。按资产类型分组:发现结果会根据资产分组 类型(Google Cloud 资源类型)、 例如 Compute Engine 实例或 IAM 服务账号
分组到一个支持请求中的所有发现结果都属于同一所有者。为确保
发现结果是否正确分组,包括未继承的发现结果
务必为 Google Cloud 代码或重要联系人配置
连接器 Fallback Owner
参数。
示例:分组机制的工作原理
在本例中,仅使用 Google Cloud 中的发现。
连接器注入了四个严重程度不同的发现结果 以及从各自的 Google Cloud 资源继承的不同值:
发现结果 1:严重级别:Critical
,资源类型:Compute
,项目:Project_1
发现结果 2:严重级别:Critical
,资源类型:IAM
,项目:Project_2
问题 3:严重程度:High
,资源类型:Compute
,项目:Project_1
发现结果 4:严重级别:High
,资源类型:Compute
,项目:Project_2
默认分组机制
默认设置意味着发现结果会按照各自的分组 项目、资源类型和严重级别属性。
在此示例中,每项发现结果都包含在不同的案例中。
情况 1:
- 发现结果 1:严重级别:
Critical
;资源类型:Compute
; 项目:Project_1
- 发现结果 1:严重级别:
情况 2:
- 发现 2:严重程度:
Critical
,资源类型:IAM
,项目:Project_2
- 发现 2:严重程度:
情况 3:
- 发现结果 3:严重级别:
High
,资源类型:Compute
,项目:Project_1
- 发现结果 3:严重级别:
情况 4:
- 问题 4:严重程度:
High
、资源类型:Compute
、项目:Project_2
- 问题 4:严重程度:
自定义分组机制
仅选中 Group by GCP Project 复选框后,系统会自动对发现结果进行分组 使案例仅包含发现结果 属于同一项目:
示例 1:
- 发现结果 1:严重级别为
Critical
,资产类型:Compute
,项目:Project_1
- 发现结果 3:严重级别为
High
,资源类型:Compute
,项目:Project_1
- 发现结果 1:严重级别为
情况 2:
- 发现结果 2:严重级别为
Critical
,资源类型:IAM
,项目:Project_2
- 发现结果 4:严重级别为
High
,资源类型:Compute
,项目:Project_2
- 发现结果 2:严重级别为
仅选中按严重性分组复选框会自动将发现结果分组 根据严重程度,使案例仅包含具有相同 严重级别:
情况 1:
- 发现结果 1:严重级别:
Critical
,资源类型:Compute
,项目:Project_1
- 发现结果 2:严重级别:
Critical
,资源类型:IAM
,项目:Project_2
- 发现结果 1:严重级别:
示例 2:
- 发现结果 3:严重级别:
High
,资源类型:Compute
,项目:Project_1
- 发现结果 4:严重级别:
High
,资源类型:Compute
,项目:Project_2
- 发现结果 3:严重级别:
仅选中按资产类型分组复选框即可自动按资产类型(Google Cloud 中的资源类型)对发现结果进行分组,以便一个支持请求仅包含属于同一资源的发现结果:
情况 1:
- 发现结果 1:严重级别:
Critical
,资源类型:Compute
,项目:Project_1
- 发现结果 3:严重级别:
High
,资源类型:Compute
,项目:Project_1
- 发现结果 4:严重级别:
High
,资源类型:Compute
,项目:Project_2
- 发现结果 1:严重级别:
情况 2:
- 发现结果 2:严重级别:
Critical
,资源类型:IAM
,项目:Project_2
- 发现结果 2:严重级别:
选中 Group by GCP Project 和 Group by Severity 复选框 根据各自的项目和严重性自动对发现结果进行分组 以使案例仅包含属于同一项目的发现结果并且 具有同样的严重性。在此示例中,连接器创建了四个 以下情况:
情况 1:
- 发现结果 1:严重级别:
Critical
,资源类型:Compute
,项目:Project_1
- 发现结果 1:严重级别:
情况 2:
- 发现结果 2:严重级别:
Critical
,资源类型:IAM
,项目:Project_2
- 发现结果 2:严重级别:
情况 3:
- 发现结果 3:严重级别:
High
,资源类型:Compute
,项目:Project_1
- 发现结果 3:严重级别:
示例 4:
- 发现结果 4:严重级别:
High
,资源类型:Compute
,项目:Project_2
- 发现结果 4:严重级别:
后续步骤
- 如需详细了解提醒,请参阅 Google SecOps 文档。