In diesem Dokument wird erläutert, wie Sie Ergebnisse in der Enterprise-Klasse Stufe von Security Command Center.
Übersicht
Der Mechanismus zur Ergebnisgruppierung gruppiert die aufgenommenen Ergebnisse automatisch in Cases. Standardmäßig sorgt dieser Gruppierungsmechanismus dafür, dass alle Ergebnisse in einem Fall gehören:
- Ressourceninhaber
- Google Cloud-Projekt
- AWS-Konto
- Asset-Typ
- Kategorie
- Wichtigkeitsstufe
Gruppierungseinstellungen konfigurieren
So konfigurieren Sie die Standardgruppierungseinstellungen für alle aufgenommenen Ergebnisse: führen Sie folgende Schritte aus:
Gehen Sie in der Security Operations-Konsole zu Einstellungen > Datenaufnahme. > Connectors.
Wählen Sie SCC Enterprise – Urgent Posture Findings Connector aus.
Um den Gruppierungsmechanismus anzupassen und bestimmte Gruppierungsoptionen zu deaktivieren, Entfernen Sie die Häkchen aus den Kästchen für einen oder mehrere der folgenden Parameter:
Group by AWS Account
Group by GCP Project
Group by Severity
Group by Asset Type
Standardmäßig gelten die folgenden Gruppierungseinstellungen für aufgenommene Ergebnisse:
Group by AWS Account (Nach AWS-Konto gruppieren): Die Ergebnisse werden gemäß den AWS-Konten gruppiert. gehören, zu denen sie gehören.
Nach GCP-Projekt gruppieren: Die Ergebnisse werden nach Google Cloud gruppiert. Projekten, zu denen sie gehören.
Nach Schweregrad gruppieren: Die Ergebnisse sind nach ihrer
severity
gruppiert. level, wieHIGH
oderMEDIUM
.Nach Asset-Typ gruppieren: Die Ergebnisse werden nach Asset gruppiert. type (Google Cloud-Ressourcentyp) wie die Compute Engine-Instanz oder das IAM-Dienstkonto.
Alle in einem Fall zusammengefassten Ergebnisse gehören demselben Inhaber. Um sicherzustellen,
dass Ergebnisse korrekt gruppiert sind, einschließlich Ergebnissen ohne übernommene
„Google Cloud-Tags“ oder „Wichtige Kontakte“. Konfigurieren Sie immer den
Connector-Fallback Owner
-Parameter.
Beispiel: Funktionsweise des Gruppierungsmechanismus
In diesem Beispiel werden nur Ergebnisse aus Google Cloud verwendet.
Der Connector nimmt vier Ergebnisse mit unterschiedlichem Schweregrad auf und verschiedene Werte, die von ihren jeweiligen Google Cloud-Ressourcen übernommen werden:
Ergebnis 1: Schweregrad: Critical
, Asset-Typ: Compute
, Projekt: Project_1
Ergebnis 2: Schweregrad: Critical
, Asset-Typ: IAM
, Projekt: Project_2
Ergebnis 3: Schweregrad: High
, Asset-Typ: Compute
, Projekt: Project_1
Ergebnis 4: Schweregrad: High
, Asset-Typ: Compute
, Projekt: Project_2
Standard-Gruppierungsmechanismus
Standardeinstellungen bedeuten, dass die Ergebnisse nach ihren jeweiligen Projekten, Asset-Typen und Schweregradeigenschaft.
In diesem Beispiel ist jedes Ergebnis in einem anderen Fall enthalten.
Fall 1:
- Ergebnis 1: Schweregrad:
Critical
, Asset-Typ:Compute
, Projekt:Project_1
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical
, Asset-Typ:IAM
, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Fall 3:
- Ergebnis 3: Schweregrad:
High
, Asset-Typ:Compute
, Projekt:Project_1
- Ergebnis 3: Schweregrad:
Fall 4:
- Ergebnis 4: Schweregrad:
High
, Asset-Typ:Compute
, Projekt:Project_2
- Ergebnis 4: Schweregrad:
Mechanismus zur benutzerdefinierten Gruppierung
Wenn Sie nur das Kästchen Nach GCP-Projekt gruppieren anklicken, werden die Ergebnisse automatisch gruppiert. entsprechend ihren Google Cloud-Projekten angepasst, sodass ein Fall nur Ergebnisse enthält, zum selben Projekt gehören:
Fall 1:
- Ergebnis 1: Schweregrad
Critical
, Asset-Typ:Compute
, Projekt:Project_1
- Ergebnis 3: Schweregrad
High
, Asset-Typ:Compute
, Projekt:Project_1
- Ergebnis 1: Schweregrad
Fall 2:
- Ergebnis 2: Schweregrad
Critical
, Asset-Typ:IAM
, Projekt:Project_2
- Ergebnis 4: Schweregrad
High
, Asset-Typ:Compute
, Projekt:Project_2
- Ergebnis 2: Schweregrad
Wenn Sie nur das Kästchen Nach Schweregrad gruppieren auswählen, werden Ergebnisse automatisch gruppiert. entsprechend ihrem Schweregrad, sodass ein Fall nur Ergebnisse mit derselben Schweregrad:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical
, Asset-Typ:Compute
, Projekt:Project_1
- Ergebnis 2: Schweregrad:
Critical
, Asset-Typ:IAM
, Projekt:Project_2
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 3: Schweregrad:
High
, Asset-Typ:Compute
, Projekt:Project_1
- Ergebnis 4: Schweregrad:
High
, Asset-Typ:Compute
, Projekt:Project_2
- Ergebnis 3: Schweregrad:
Wenn Sie nur das Kästchen Nach Asset-Typ gruppieren auswählen, werden die Ergebnisse automatisch gruppiert. nach ihren Asset-Typen (Ressourcentypen in Google Cloud), sodass ein Fall enthält nur Ergebnisse, die zur selben Ressource gehören:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical
, Asset-Typ:Compute
, Projekt:Project_1
- Ergebnis 3: Schweregrad:
High
, Asset-Typ:Compute
, Projekt:Project_1
- Ergebnis 4: Schweregrad:
High
, Asset-Typ:Compute
, Projekt:Project_2
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical
, Asset-Typ:IAM
, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Klicken Sie die Kästchen neben Nach GCP-Projekt gruppieren und Nach Schweregrad gruppieren an. Die Ergebnisse werden automatisch nach ihren jeweiligen Projekten und Schweregraden gruppiert. sodass ein Fall nur Ergebnisse enthält, die zum selben Projekt gehören und die den gleichen Schweregrad haben. In diesem Beispiel erstellt der Connector vier folgenden Fällen:
Fall 1:
- Ergebnis 1: Schweregrad:
Critical
, Asset-Typ:Compute
, Projekt:Project_1
- Ergebnis 1: Schweregrad:
Fall 2:
- Ergebnis 2: Schweregrad:
Critical
, Ressourcentyp:IAM
, Projekt:Project_2
- Ergebnis 2: Schweregrad:
Fall 3:
- Ergebnis 3: Schweregrad:
High
, Ressourcentyp:Compute
, Projekt:Project_1
- Ergebnis 3: Schweregrad:
Fall 4:
- Ergebnis 4: Schweregrad:
High
, Ressourcentyp:Compute
, Projekt:Project_2
- Ergebnis 4: Schweregrad:
Nächste Schritte
- Weitere Informationen zu Benachrichtigungen in den Google SecOps Dokumentation.