Questo documento descrive in che modo la disattivazione dei risultati utilizzando le funzionalità della console Security Operations può contribuire a ridurre il numero di risultati importati in Security Command Center Enterprise.
Panoramica
La disattivazione dei risultati per le richieste nella console Security Operations ne impedisce la visualizzazione nelle richieste. Puoi disattivare i risultati collettivamente eseguendo un'azione manuale su una richiesta o disattivare un singolo risultato eseguendo un'azione manuale sull'avviso specifico.
Il connettore SCC Enterprise - Urgent Posture Findings importa tutti i risultati nelle richieste, ma potresti notare risultati specifici che sembrano irrilevanti per il tuo progetto o che indicano un comportamento previsto. In questo caso, il flusso di risultati irrilevanti potrebbe complicare eccessivamente il carico di lavoro degli analisti della sicurezza e impedire loro di rispondere efficacemente a vulnerabilità importanti. Invece di ricevere costantemente notifiche sui risultati irrilevanti esistenti in Security Command Center Enterprise, puoi disattivarli.
Disattivare più risultati
Se disattivi tutti i risultati di una richiesta, Security Command Center chiude automaticamente la richiesta.
Per disattivare l'audio di più risultati in una richiesta:
- Nella console Security Operations, vai a Cases.
- Seleziona una richiesta contenente i risultati da disattivare.
- Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
- Nel campo Ricerca dell'azione manuale, inserisci
Update Finding. Nei risultati di ricerca dell'integrazione GoogleSecurityCommandCenter, seleziona l'azione Aggiorna rilevamento. Viene visualizzata la finestra di dialogo dell'azione.
Per impostazione predefinita, il parametro Esegui su avvisi è impostato sul valore Tutti gli avvisi.
(Facoltativo) Per modificare le impostazioni predefinite del parametro Esegui su avvisi, seleziona i tipi di risultati pertinenti dall'elenco a discesa.
Per configurare il parametro Nome ricerca, inserisci il seguente segnaposto:
[Alert.TicketID]Il segnaposto recupera dinamicamente i nomi dei risultati corrispondenti agli avvisi selezionati.
Per disattivare i risultati, imposta il parametro Stato disattivazione su Disattiva.
Fai clic su Execute (Esegui).
Disattivare un singolo risultato
Per disattivare l'audio di una singola segnalazione, devi eseguire l'azione Aggiorna segnalazione su un avviso specifico nella richiesta. L'azione non influisce su altri avvisi nella richiesta.
Per disattivare l'audio di un singolo risultato:
- Nella console Security Operations, vai a Cases.
- Seleziona una richiesta contenente i risultati da disattivare.
- In una richiesta, seleziona l'avviso contenente un risultato da disattivare.
- In un avviso, vai alla scheda Eventi.
- Per recuperare un nome di risultato da un evento, fai clic su Visualizza altro. Si apre la visualizzazione dettagliata dell'evento.
Nella sezione Campi evidenziati, trova un nome di campo Nome. Fai clic sul valore per visualizzare il nome completo del rilevamento. Copia il valore del nome risultato completo nel seguente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDNella scheda Panoramica dell'avviso dell'avviso selezionato, fai clic su Azione manuale.
Nel campo dell'azione manuale Cerca, inserisci
Update Finding.Nei risultati di ricerca dell'integrazione GoogleSecurityCommandCenter, seleziona l'azione Aggiorna rilevamento. Viene visualizzata la finestra di dialogo dell'azione.
Per impostazione predefinita, il parametro Esegui su avvisi è impostato sul valore dell'avviso selezionato.
Per configurare il parametro Finding Name (Nome elemento), incolla il valore Name (Nome) che hai copiato dalla visualizzazione dettagliata dell'evento.
Per disattivare l'audio di un rilevamento, imposta il parametro Mute Status (Stato disattivazione) su Mute (Disattiva).
Fai clic su Execute (Esegui).
Passaggi successivi
Scopri come disattivare i risultati in Security Command Center.
Scopri di più sulle richieste nella documentazione di Google SecOps.