Questo documento spiega come raggruppare i risultati in casi in Enterprise livello di Security Command Center.
Panoramica
Il meccanismo di raggruppamento dei risultati raggruppa automaticamente i risultati importati in d'uso diversi. Per impostazione predefinita, questo meccanismo di raggruppamento garantisce che tutti i risultati in una richiesta appartengono agli stessi:
- Proprietario risorsa
- Progetto Google Cloud
- Account AWS
- Tipo di asset
- Categoria
- Livello di gravità
Configura le impostazioni di raggruppamento
Per configurare le impostazioni di raggruppamento predefinite applicabili a tutti i risultati importati: segui questi passaggi:
In Security Operations Console, vai a Impostazioni > Importazione > Connettori.
Seleziona SCC Enterprise - Urgent Posture Findings Connector.
Per personalizzare il meccanismo di raggruppamento e disattivare opzioni di raggruppamento specifiche, Deseleziona le caselle di controllo relative a uno o più dei seguenti parametri:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Per impostazione predefinita, ai risultati importati si applicano le seguenti impostazioni di raggruppamento:
Raggruppa per account AWS: i risultati vengono raggruppati in base agli account AWS a cui appartengono.
Raggruppa per progetto Google Cloud: i risultati vengono raggruppati in base al target ai progetti a cui appartengono.
Raggruppa per gravità: i risultati vengono raggruppati in base al relativo
severity. livello, comeHIGHoMEDIUM.Raggruppa per tipo di asset: i risultati vengono raggruppati in base al relativo asset. (tipo di risorsa Google Cloud), ad esempio un'istanza Compute Engine o un account di servizio IAM.
Tutti i risultati raggruppati in una richiesta appartengono allo stesso proprietario. Per garantire
che i risultati vengano raggruppati correttamente, inclusi quelli senza ereditari
Tag Google Cloud o contatti necessari, configura sempre
del connettore Fallback Owner.
Esempio: come funziona il meccanismo di raggruppamento
In questo esempio vengono utilizzati solo i risultati di Google Cloud.
Il connettore importa quattro risultati con gravità diverse e dai diversi valori ereditati dalle rispettive risorse Google Cloud:
Risultati 1: gravità: Critical, tipo di asset: Compute, progetto: Project_1
Risultati 2: gravità: Critical, tipo di asset: IAM, progetto: Project_2
Risultati 3: gravità: High, tipo di asset: Compute, progetto: Project_1
Risultati 4: gravità: High, tipo di asset: Compute, progetto: Project_2
Meccanismo di raggruppamento predefinito
Con le impostazioni predefinite i risultati vengono raggruppati in base ai rispettivi progetti, tipi di asset e proprietà di gravità.
In questo esempio, ogni risultato è incluso in un caso diverso.
Caso 1:
- Risultati 1: gravità:
Critical, tipo di asset:Compute, Progetto:Project_1
- Risultati 1: gravità:
Caso 2:
- Risultati 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2
- Risultati 2: gravità:
Caso 3:
- Risultati 3: gravità:
High, tipo di asset:Compute, progetto:Project_1
- Risultati 3: gravità:
Caso 4:
- Risultati 4: gravità:
High, tipo di asset:Compute, progetto:Project_2
- Risultati 4: gravità:
Meccanismo di raggruppamento personalizzato
La selezione solo della casella di controllo Raggruppa per progetto Google Cloud raggruppa automaticamente i risultati in base ai propri progetti Google Cloud, in modo che una richiesta contenga solo risultati appartenenti allo stesso progetto:
Caso 1:
- Risultati 1: gravità
Critical, tipo di asset:Compute, progetto:Project_1 - Risultati 3: gravità
High, tipo di asset:Compute, progetto:Project_1
- Risultati 1: gravità
Caso 2:
- Risultati 2: gravità
Critical, tipo di asset:IAM, progetto:Project_2 - Risultati 4: gravità
High, tipo di asset:Compute, progetto:Project_2
- Risultati 2: gravità
Se selezioni solo la casella di controllo Raggruppa per gravità, i risultati vengono raggruppati automaticamente. in base alla gravità, in modo che un caso contenga unicamente livello di gravità:
Caso 1:
- Risultati 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1 - Risultati 2: gravità:
Critical, tipo di asset:IAM, progetto:Project_2
- Risultati 1: gravità:
Caso 2:
- Risultati 3: gravità:
High, tipo di asset:Compute, progetto:Project_1 - Risultati 4: gravità:
High, tipo di asset:Compute, progetto:Project_2
- Risultati 3: gravità:
Se selezioni solo la casella di controllo Raggruppa per tipo di asset, i risultati vengono raggruppati automaticamente. in base ai tipi di asset (tipi di risorse in Google Cloud), in modo che contiene solo i risultati che appartengono alla stessa risorsa:
Caso 1:
- Risultati 1: gravità:
Critical, tipo di risorsa:Compute, progetto:Project_1 - Risultati 3: gravità:
High, tipo di risorsa:Compute, progetto:Project_1 - Risultati 4: gravità:
High, tipo di risorsa:Compute, progetto:Project_2
- Risultati 1: gravità:
Caso 2:
- Risultati 2: gravità:
Critical, tipo di risorsa:IAM, progetto:Project_2
- Risultati 2: gravità:
Selezionando entrambe le caselle di controllo Raggruppa per progetto Google Cloud e Raggruppa per gravità, raggruppa automaticamente i risultati in base ai rispettivi progetti e alla gravità in modo che una richiesta contenga solo i risultati appartenenti allo stesso progetto e anche se hanno la stessa gravità. In questo esempio, il connettore crea quattro i seguenti casi:
Caso 1:
- Risultati 1: gravità:
Critical, tipo di asset:Compute, progetto:Project_1
- Risultati 1: gravità:
Caso 2:
- Risultati 2: gravità:
Critical, tipo di risorsa:IAM, progetto:Project_2
- Risultati 2: gravità:
Caso 3:
- Risultati 3: gravità:
High, tipo di risorsa:Compute, progetto:Project_1
- Risultati 3: gravità:
Caso 4:
- Risultati 4: gravità:
High, tipo di risorsa:Compute, progetto:Project_2
- Risultati 4: gravità:
Passaggi successivi
- Scopri di più sugli avvisi in Google SecOps documentazione.