Este documento explica como pode agrupar as conclusões em registos.
Estes passos são realizados através das páginas da consola de operações de segurança. Para abrir estas páginas a partir da Google Cloud consola, aceda a Definições > Definições de SOAR.
Vista geral
O mecanismo de agrupamento de conclusões agrupa automaticamente as conclusões carregadas em casos. Por predefinição, este mecanismo de agrupamento garante que todas as conclusões num registo pertencem ao mesmo:
- Proprietário do recurso
- Google Cloud projeto
- Conta da AWS
- Tipo de recurso
- Categoria
- Nível de gravidade
Configure as definições de agrupamento
Para configurar as predefinições de agrupamento aplicáveis a todas as descobertas carregadas, siga estes passos:
Na consola Security Operations, aceda a Definições > Carregamento > Conetores.
Selecione SCC Enterprise - Urgent Posture Findings Connector.
Para personalizar o mecanismo de agrupamento e desativar opções de agrupamento específicas, desmarque as caixas de verificação de um ou mais dos seguintes parâmetros:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Por predefinição, as seguintes definições de agrupamento aplicam-se às conclusões carregadas:
Agrupar por conta da AWS: as conclusões são agrupadas de acordo com as contas da AWS às quais pertencem.
Agrupar por projeto da GCP: as descobertas são agrupadas de acordo com os Google Cloud projetos a que pertencem.
Agrupar por gravidade: as conclusões são agrupadas de acordo com o respetivo
severitynível, comoHIGHouMEDIUM.Agrupar por tipo de recurso: as conclusões são agrupadas de acordo com o respetivo tipo de recurso (Google Cloud tipo de recurso), como uma instância do Compute Engine ou uma conta de serviço do IAM.
Todas as conclusões agrupadas num registo pertencem ao mesmo proprietário. Para garantir que as conclusões são agrupadas corretamente, incluindo as conclusões semGoogle Cloud etiquetas ou contactos essenciaisFallback Owner herdados, configure sempre o parâmetro do conector.
Exemplo: como funciona o mecanismo de agrupamento
Neste exemplo, apenas são usadas as conclusões de Google Cloud .
O conector carrega quatro resultados com gravidades diferentes e valores diferentes herdados dos respetivos Google Cloud recursos:
Constatação 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1Constatação 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2Finding 3: Gravidade:
High, tipo de recurso:Compute, projeto:Project_1Finding 4: Gravidade:
High, tipo de recurso:Compute, projeto:Project_2
Mecanismo de agrupamento predefinido
As predefinições significam que as conclusões são agrupadas de acordo com os respetivos projetos, tipos de recursos e propriedade de gravidade.
Neste exemplo, cada descoberta está incluída num caso diferente.
Caso 1:
- Constatação 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1
- Constatação 1: gravidade:
Caso 2:
- Constatação 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Constatação 2: gravidade:
Caso 3:
- Finding 3: Gravidade:
High, tipo de recurso:Compute, projeto:Project_1
- Finding 3: Gravidade:
Caso 4:
- Finding 4: Gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Finding 4: Gravidade:
Mecanismo de agrupamento personalizado
Se selecionar apenas a caixa de verificação Agrupar por projeto da GCP, os resultados são agrupados automaticamente de acordo com os respetivos Google Cloud projetos, para que um registo contenha apenas resultados pertencentes ao mesmo projeto:
Caso 1:
- Finding 1: Severity
Critical, Asset Type:Compute, Project:Project_1 - Finding 3: Severity
High, Asset Type:Compute, Project:Project_1
- Finding 1: Severity
Caso 2:
- Finding 2: gravidade
Critical, tipo de recurso:IAM, projeto:Project_2 - Finding 4: gravidade
High, tipo de recurso:Compute, projeto:Project_2
- Finding 2: gravidade
Se selecionar apenas a caixa de verificação Agrupar por gravidade, as conclusões são agrupadas automaticamente de acordo com as respetivas gravidades, para que um registo contenha apenas conclusões com o mesmo nível de gravidade:
Caso 1:
- Finding 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1 - Constatação 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Finding 1: gravidade:
Caso 2:
- Finding 3: Gravidade:
High, tipo de recurso:Compute, projeto:Project_1 - Finding 4: Gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Finding 3: Gravidade:
Se selecionar apenas a caixa de verificação Agrupar por tipo de recurso, os resultados são agrupados automaticamente de acordo com os respetivos tipos de recursos (tipos de recursos no Google Cloud), para que um registo contenha apenas resultados pertencentes ao mesmo recurso:
Caso 1:
- Finding 1: Gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1 - Constatação 3: gravidade:
High, tipo de recurso:Compute, projeto:Project_1 - Finding 4: Severity:
High, Asset Type:Compute, Project:Project_2
- Finding 1: Gravidade:
Caso 2:
- Constatação 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Constatação 2: gravidade:
Se selecionar as caixas de verificação Agrupar por projeto GCP e Agrupar por gravidade, as descobertas são agrupadas automaticamente de acordo com os respetivos projetos e níveis de gravidade, para que um registo contenha apenas descobertas pertencentes ao mesmo projeto e com a mesma gravidade. Neste exemplo, o conetor cria os quatro casos seguintes:
Caso 1:
- Finding 1: Gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1
- Finding 1: Gravidade:
Caso 2:
- Deteção 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Deteção 2: gravidade:
Caso 3:
- Finding 3: Gravidade:
High, tipo de recurso:Compute, projeto:Project_1
- Finding 3: Gravidade:
Caso 4:
- Finding 4: Gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Finding 4: Gravidade:
O que se segue?
- Saiba mais sobre os alertas na documentação do Google SecOps.