ケースの検出結果をグループ化する

このドキュメントでは、検出結果をケースにグループ化する方法について説明します。

これらの手順は、セキュリティ運用コンソールのページを使用して行います。 Google Cloud コンソールからこれらのページを開くには、[設定] > [SOAR 設定] に移動します。

概要

検出結果のグループ化メカニズムは、取り込まれた検出結果を自動的にケースにグループ化します。デフォルトでは、このグループ化メカニズムにより、ケース内のすべての検出結果が同じ次のものに属します。

  • リソースの所有者
  • Google Cloud プロジェクト
  • AWS アカウント
  • アセットタイプ
  • カテゴリ
  • 重大度

グループ化の設定を構成する

取り込まれたすべての検出結果に適用されるデフォルトのグループ化設定を構成する手順は次のとおりです。

  1. セキュリティ運用コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。

  2. [SCC Enterprise - Urgent Posture Findings コネクタ] を選択します。

  3. グループ化メカニズムをカスタマイズして特定のグループ化オプションを無効にするには、次の 1 つ以上のパラメータのチェックボックスをオフにします。

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

デフォルトでは、次のグループ化設定が取り込まれた検出結果に適用されます。

  • AWS アカウント別にグループ化: 検出結果が属する AWS アカウントに従ってグループ化されます。

  • GCP プロジェクトでグループ化: 検出結果は、属する Google Cloud プロジェクトごとにグループ化されます。

  • 重大度別にグループ化: 検出結果は、HIGHMEDIUM などの severity レベルに従ってグループ化されます。

  • アセットタイプ別にグループ化: 検出結果は、Compute Engine インスタンスや IAM サービス アカウントなどのアセットタイプ(Google Cloud リソースタイプ)に従ってグループ化されます。

ケースにグループ化されたすべての検出結果は、同じオーナーに属します。継承されたGoogle Cloud タグや重要な連絡先のない検出結果も含め、検出結果が正しくグループ化されるように、必ずコネクタの Fallback Owner パラメータを構成してください。

例: グループ化メカニズムの仕組み

この例では、 Google Cloud の結果のみが使用されます。

コネクタは、重大度と値が異なる 4 つの検出結果を取り込みます。これらの値は、それぞれの Google Cloud リソースから継承されます。

  • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1

  • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

  • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1

  • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

デフォルトのグループ化メカニズム

デフォルト設定では、検出結果はそれぞれのプロジェクト、アセットタイプ、重大度プロパティに従ってグループ化されます。

この例では、すべての検出結果が異なるケースに含まれています。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1

  • ケース 2:

    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

  • ケース 3:

    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1

  • ケース 4:

    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

カスタム グループ化メカニズム

[GCP プロジェクトでグループ化] チェックボックスのみを選択すると、 Google Cloud プロジェクトに従って検出結果が自動的にグループ化され、ケースに同じプロジェクトに属する検出結果のみが含まれます。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1

  • ケース 2:

    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2
    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

[重大度によるグループ化] チェックボックスのみを選択すると、検出結果が重大度に従って自動的にグループ化され、ケースに同じ重大度の検出結果のみが含まれるようになります。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

  • ケース 2:

    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

[アセットタイプによるグループ化] チェックボックスのみを選択すると、アセットタイプ( Google Cloudのリソースタイプ)に従って検出結果が自動的にグループ化され、ケースに同じリソースに属する検出結果のみが含まれます。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 3: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_1
    • 検出結果 4: 重大度: High、アセットタイプ: Compute、プロジェクト: Project_2

  • ケース 2:

    • 検出結果 2: 重大度: Critical、アセットタイプ: IAM、プロジェクト: Project_2

[GCP プロジェクトでグループ化] と [重大度によるグループ化] の両方のチェックボックスをオンにすると、それぞれのプロジェクトと重大度レベルに従って検出結果が自動的にグループ化され、ケースには同じプロジェクトに所属、かつ 同じ重大度を持つ検出結果のみが含まれるようになります。この例では、コネクタは次の 4 つのケースを作成します。

  • ケース 1:

    • 検出結果 1: 重大度: Critical、アセットタイプ: Compute、プロジェクト: Project_1

  • ケース 2:

    • 検出結果 2: 重大度: Critical、リソースタイプ: IAM、プロジェクト: Project_2

  • ケース 3:

    • 検出結果 3: 重大度: High、リソースタイプ: Compute、プロジェクト: Project_1

  • ケース 4:

    • 検出結果 4: 重大度: High、リソースタイプ: Compute、プロジェクト: Project_2

次のステップ

  • アラートの詳細について、Google SecOps ドキュメントを確認する。