קיבוץ הממצאים בתיקים

במאמר הזה מוסבר איך לקבץ ממצאים למקרים.

השלבים האלה מתבצעים באמצעות דפים במסוף Security Operations. כדי לפתוח את הדפים האלה מתוך Google Cloud המסוף, עוברים אל הגדרות > הגדרות SOAR.

סקירה כללית

מנגנון הקיבוץ של הממצאים מקבץ באופן אוטומטי ממצאים שנבלעו במקרים. כברירת מחדל, מנגנון הקיבוץ הזה מבטיח שכל הממצאים בתיקון שייכים לאותו:

  • הבעלים של מקור המידע
  • פרויקטGoogle Cloud
  • חשבון AWS
  • סוג הנכס
  • קטגוריה
  • רמת החומרה

קביעת הגדרות של קיבוץ

כדי להגדיר את הגדרות ברירת המחדל של הקיבוץ שחלות על כל הממצאים שנאספו, פועלים לפי השלבים הבאים:

  1. במסוף Security Operations, עוברים אל Settings > Ingestion > Connectors (הגדרות > קליטה > מחברים).

  2. בוחרים באפשרות SCC Enterprise - Urgent Posture Findings Connector (SCC Enterprise – כלי לחיבור ממצאים דחופים בנוגע למצב האבטחה).

  3. כדי להתאים אישית את מנגנון הקיבוץ ולהשבית אפשרויות קיבוץ ספציפיות, מבטלים את הסימון בתיבות הסימון של אחד או יותר מהפרמטרים הבאים:

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

כברירת מחדל, הגדרות הקיבוץ הבאות חלות על ממצאים שנבלעו:

  • קיבוץ לפי חשבון AWS: הממצאים מקובצים לפי חשבונות ה-AWS שאליהם הם משתייכים.

  • Group by GCP Project: הממצאים מקובצים לפי הפרויקטים ב- Google Cloud GCP שאליהם הם שייכים.

  • Group by Severity: הממצאים מקובצים לפי severity הדרגה שלהם, למשל HIGH או MEDIUM.

  • Group by Asset Type: התוצאות מקובצות לפי סוג הנכס (Google Cloud סוג המשאב), כמו מכונה של Compute Engine או חשבון שירות של IAM.

כל הממצאים שמקובצים לתיק שייכים לאותו בעלים. כדי לוודא שהממצאים מקובצים בצורה נכונה, כולל ממצאים ללא תגיGoogle Cloud או אנשי קשר חיוניים שעברו בירושה, צריך תמיד להגדיר את הפרמטר של המחבר Fallback Owner.

דוגמה: איך פועל מנגנון הקיבוץ

בדוגמה הזו, נעשה שימוש רק בממצאים מ- Google Cloud .

המחבר מעביר ארבעה ממצאים עם רמות חומרה שונות וערכים שונים שמועברים בירושה מהמשאבים המתאימים של Google Cloud :

  • ממצא 1: חומרה: Critical, סוג הנכס: Compute, פרויקט: Project_1

  • ממצא 2: מידת החומרה: Critical, סוג הנכס: IAM, פרויקט: Project_2

  • ממצא 3: מידת החומרה: High, סוג הנכס: Compute, פרויקט: Project_1

  • ממצא 4: מידת החומרה: High, סוג הנכס: Compute, פרויקט: Project_2

מנגנון הקיבוץ שמוגדר כברירת מחדל

הגדרות ברירת המחדל קובעות שהממצאים יקובצו לפי הפרויקטים, סוגי הנכסים ומאפיין החומרה שלהם.

בדוגמה הזו, כל ממצא נכלל במקרה אחר.

  • מקרה 1:

    • ממצא 1: חומרה: Critical, סוג הנכס: Compute, פרויקט: Project_1

  • מקרה 2:

    • ממצא 2: מידת החומרה: Critical, סוג הנכס: IAM, פרויקט: Project_2

  • מקרה 3:

    • ממצא 3: מידת החומרה: High, סוג הנכס: Compute, פרויקט: Project_1

  • מקרה 4:

    • ממצא 4: מידת החומרה: High, סוג הנכס: Compute, פרויקט: Project_2

מנגנון קיבוץ בהתאמה אישית

אם מסמנים רק את תיבת הסימון Group by GCP Project, הממצאים מקובצים אוטומטית לפי הפרויקטים שלהם Google Cloud , כך שבקשת תמיכה תכיל רק ממצאים ששייכים לאותו פרויקט:

  • מקרה 1:

    • ממצא 1: חומרה Critical, סוג הנכס: Compute, פרויקט: Project_1
    • ממצא 3: מידת החומרה High, סוג הנכס: Compute, פרויקט: Project_1

  • מקרה 2:

    • ממצא 2: מידת החומרה Critical, סוג הנכס: IAM, פרויקט: Project_2
    • ממצא 4: רמת חומרה High, סוג נכס: Compute, פרויקט: Project_2

אם מסמנים רק את התיבה קיבוץ לפי רמת חומרה, הממצאים מקובצים אוטומטית לפי רמת החומרה שלהם, כך שכל מקרה יכיל רק ממצאים עם אותה רמת חומרה:

  • מקרה 1:

    • ממצא 1: חומרה: Critical, סוג הנכס: Compute, פרויקט: Project_1
    • ממצא 2: מידת החומרה: Critical, סוג הנכס: IAM, פרויקט: Project_2

  • מקרה 2:

    • ממצא 3: מידת החומרה: High, סוג הנכס: Compute, פרויקט: Project_1
    • ממצא 4: מידת החומרה: High, סוג הנכס: Compute, פרויקט: Project_2

אם מסמנים רק את התיבה Group by Asset Type, הממצאים מקובצים אוטומטית לפי סוגי הנכסים שלהם (סוגי המשאבים ב- Google Cloud), כך שכל מקרה יכיל רק ממצאים ששייכים לאותו משאב:

  • מקרה 1:

    • ממצא 1: חומרה: Critical, סוג הנכס: Compute, פרויקט: Project_1
    • ממצא 3: מידת החומרה: High, סוג הנכס: Compute, פרויקט: Project_1
    • ממצא 4: מידת החומרה: High, סוג הנכס: Compute, פרויקט: Project_2

  • מקרה 2:

    • ממצא 2: מידת החומרה: Critical, סוג הנכס: IAM, פרויקט: Project_2

אם מסמנים את שתי תיבות הסימון Group by GCP Project ו-Group by Severity, הממצאים מקובצים אוטומטית לפי הפרויקטים ורמות החומרה שלהם, כך שכל מקרה יכיל רק ממצאים ששייכים לאותו פרויקט ו בעלי אותה רמת חומרה. בדוגמה הזו, המחבר יוצר ארבע בקשות תמיכה:

  • מקרה 1:

    • ממצא 1: חומרה: Critical, סוג הנכס: Compute, פרויקט: Project_1

  • מקרה 2:

    • ממצא 2: מידת החומרה: Critical, סוג המשאב: IAM, פרויקט: Project_2

  • מקרה 3:

    • ממצא 3: מידת החומרה: High, סוג המשאב: Compute, פרויקט: Project_1

  • מקרה 4:

    • ממצא 4: מידת החומרה: High, סוג המשאב: Compute, פרויקט: Project_2

מה השלב הבא?

  • מידע נוסף על התראות זמין במסמכי Google SecOps.