Neste documento, descrevemos como silenciar descobertas usando os recursos do console do Security Operations pode ajudar a reduzir o número de descobertas ingeridas no Security Command Center Enterprise.
Casos, alertas e o Conector de descobertas de posturas urgentes do SCC Enterprise são uma funcionalidade com tecnologia das Operações de segurança do Google.
Visão geral
Silenciar as descobertas no console de operações de segurança impede que elas apareçam. É possível silenciar descobertas em massa executando uma ação manual em um caso ou silenciar uma descoberta individual executando uma ação manual no alerta específico.
O SCC Enterprise - Conector de descobertas de posturas urgentes ingere todas as descobertas em casos, mas é possível notar descobertas específicas que parecem irrelevantes para o projeto ou indicam um comportamento esperado. Nesse caso, o fluxo de descobertas insignificantes pode complicar a carga de trabalho do analista de segurança e impedir que ele responda efetivamente a vulnerabilidades importantes. Em vez de ser constantemente notificado sobre as descobertas irrelevantes no Security Command Center Enterprise, é possível silenciá-las.
Silenciar várias descobertas
Se você silenciar todas as descobertas em um caso, o Security Command Center fechará o caso automaticamente.
Para silenciar várias descobertas em um caso, siga estas etapas:
- No console de Operações de Segurança, acesse Casos.
- Selecione um caso com as descobertas que você quer silenciar.
- Na guia Visão geral do caso, clique em Ação manual.
- No campo Pesquisar de ação manual, insira
Update Finding. Nos resultados da pesquisa, na integração GoogleSecurityCommandCenter, selecione a ação Atualizar descoberta. A janela da caixa de diálogo de ação é aberta.
Por padrão, o parâmetro Executar em alertas é definido como o valor Todos os alertas.
Opcional: para alterar as configurações padrão do parâmetro Executar em alertas, selecione os tipos de descoberta relevantes na lista suspensa.
Para configurar o parâmetro Nome da descoberta, insira o seguinte marcador:
[Alert.TicketID]O marcador recupera dinamicamente os nomes de descobertas que correspondem aos alertas selecionados.
Para silenciar as descobertas, defina o parâmetro Status de silenciamento como Silenciar.
Clique em Executar.
Desativar o som de uma descoberta específica
Para silenciar uma descoberta individual, você precisa executar a ação Atualizar descoberta em um alerta específico no caso. A ação não afeta outros alertas no caso.
Para silenciar uma descoberta individual, siga estas etapas:
- No console de Operações de Segurança, acesse Casos.
- Selecione um caso com as descobertas que você quer silenciar.
- Em um caso, selecione o alerta que contém uma descoberta a ser silenciada.
- Em um alerta, acesse a guia Eventos.
- Para recuperar um nome de descoberta de um evento, clique em Ver mais. A visualização detalhada do evento é aberta.
Na seção Campos destacados, encontre o nome do campo Nome. Clique no valor dele para ver o nome completo da descoberta. Copie o valor completo do nome de descoberta no seguinte formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDNa guia Visão geral do alerta do alerta selecionado, clique em Ação manual.
No campo Pesquisar de ação manual, insira
Update Finding.Nos resultados da pesquisa, na integração GoogleSecurityCommandCenter, selecione a ação Atualizar descoberta. A janela da caixa de diálogo de ação é aberta.
Por padrão, o parâmetro Executar em alertas é definido como o valor de alerta selecionado.
Para configurar o parâmetro Finding Name, cole o valor de Name que você copiou da visualização detalhada do evento.
Para silenciar uma descoberta, defina o parâmetro Status de silenciamento como Silenciar.
Clique em Executar.
A seguir
Saiba como silenciar descobertas no Security Command Center.
Saiba mais sobre os casos na documentação do Google SecOps.