Dokumen ini menjelaskan cara membisukan temuan menggunakan kemampuan konsol Security Operations dapat membantu mengurangi jumlah temuan yang diserap di Security Command Center Enterprise.
Ringkasan
Menonaktifkan temuan untuk kasus di konsol Security Operations akan mencegahnya muncul dalam kasus. Anda dapat membisukan temuan secara massal dengan menjalankan tindakan manual pada kasus atau membisukan temuan individual dengan menjalankan tindakan manual pada pemberitahuan tertentu.
SCC Enterprise - Urgent Posture Findings Connector menyerap semua temuan ke dalam kasus, tetapi Anda mungkin melihat temuan tertentu yang tampaknya tidak relevan dengan project atau menunjukkan perilaku yang diharapkan. Dalam hal ini, alur temuan yang tidak penting mungkin terlalu mempersulit beban kerja analis keamanan dan mencegah analis merespons kerentanan penting secara efektif. Anda dapat menonaktifkannya agar tidak terus-menerus diberi tahu tentang temuan yang tidak relevan yang ada di Security Command Center Enterprise.
Menonaktifkan beberapa temuan
Jika Anda menonaktifkan semua temuan dalam kasus, Security Command Center akan otomatis menutup kasus tersebut.
Untuk membisukan beberapa temuan dalam kasus, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Kasus.
- Pilih kasus yang berisi temuan yang akan dibisukan.
- Di tab Ringkasan Kasus, klik Tindakan Manual.
- Di kolom Telusuri tindakan manual, masukkan
Update Finding. Di hasil penelusuran pada integrasi GoogleSecurityCommandCenter, pilih tindakan Update Finding. Jendela dialog tindakan akan terbuka.
Secara default, parameter Run on Alerts ditetapkan ke nilai All Alerts.
Opsional: Untuk mengubah setelan default parameter Run on Alerts, pilih jenis temuan yang relevan dari menu drop-down.
Untuk mengonfigurasi parameter Finding Name, masukkan placeholder berikut:
[Alert.TicketID]Placeholder secara dinamis mengambil nama temuan yang sesuai dengan pemberitahuan yang dipilih.
Untuk membisukan temuan, setel parameter Status Bisukan ke Bisukan.
Klik Jalankan.
Membisukan temuan tertentu
Untuk membisukan temuan individual, Anda harus menjalankan tindakan Update Finding pada pemberitahuan tertentu dalam kasus tersebut. Tindakan ini tidak memengaruhi pemberitahuan lain dalam kasus ini.
Untuk membisukan setiap temuan, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Kasus.
- Pilih kasus yang berisi temuan yang akan dibisukan.
- Dalam kasus ini, pilih notifikasi yang berisi temuan untuk dibisukan.
- Di pemberitahuan, buka tab Peristiwa.
- Untuk mengambil Nama Temuan dari peristiwa, klik Lihat Lainnya. Tampilan detail peristiwa akan terbuka.
Di bagian Kolom yang Disorot, temukan nama kolom Nama. Klik nilainya untuk melihat nama temuan lengkapnya. Salin nilai nama temuan lengkap dalam format berikut:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDDi tab Ringkasan Pemberitahuan dari pemberitahuan yang dipilih, klik Tindakan Manual.
Di kolom Telusuri tindakan manual, masukkan
Update Finding.Di hasil penelusuran pada integrasi GoogleSecurityCommandCenter, pilih tindakan Update Finding. Jendela dialog tindakan akan terbuka.
Secara default, parameter Run on Alerts ditetapkan ke nilai pemberitahuan yang dipilih.
Untuk mengonfigurasi parameter Finding Name, tempel nilai Name yang telah Anda salin dari tampilan mendetail peristiwa.
Untuk membisukan temuan, tetapkan parameter Status Bisukan ke Bisukan.
Klik Jalankan.
Apa langkah selanjutnya?
Pelajari cara menonaktifkan temuan di Security Command Center.
Pelajari lebih lanjut kasus di dokumentasi Google SecOps.