Ergebnisse in Fällen ausblenden

In diesem Dokument wird beschrieben, wie Sie mithilfe der Funktionen der Security Operations Console die Anzahl der in Security Command Center Enterprise aufgenommenen Ergebnisse reduzieren können.

Übersicht

Wenn Sie Ergebnisse für Anfragen in der Security Operations Console stummschalten, werden sie nicht in Anfragen angezeigt. Sie können Ergebnisse im Bulk ausblenden, indem Sie eine manuelle oder ein einzelnes Ergebnis ausblenden, indem Sie eine manuelle Maßnahme bestimmte Benachrichtigung.

Über den SCC Enterprise – Urgent Posture Findings Connector werden alle Ergebnisse in Anfragen aufgenommen. Es kann jedoch vorkommen, dass bestimmte Ergebnisse für Ihr Projekt irrelevant erscheinen oder auf ein erwartetes Verhalten hinweisen. In diesem Fall würde der Fluss vernachlässigbarer Ergebnisse die Arbeitslast der Sicherheitsanalysten zu kompliziert machen und Analysten daran hindern, effektiv auf wichtige Schwachstellen reagieren. Anstatt ständig über irrelevante Ergebnisse im Security Command Center Enterprise benachrichtigt zu werden, können Sie sie stummschalten.

Mehrere Ergebnisse ausblenden

Wenn Sie alle Ergebnisse in einem Fall ausblenden, schließt Security Command Center automatisch das Fall.

Führen Sie die folgenden Schritte aus, um mehrere Ergebnisse in einem Fall auszublenden:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).
  2. Wählen Sie einen Fall mit den Ergebnissen aus, die Sie ausblenden möchten.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld für die manuelle Aktion Suchen den Wert Update Finding ein.
  5. Wählen Sie in den Suchergebnissen unter der Integration GoogleSecurityCommandCenter die Aktion Ergebnis aktualisieren aus. Das Dialogfeld „Aktion“ wird geöffnet.

    Standardmäßig ist der Parameter Bei Alerts ausführen auf Alle Warnungen eingestellt. Wert.

  6. Optional: Wenn Sie die Standardeinstellungen des Parameters Bei Benachrichtigungen ausführen ändern möchten, wählen Sie in der Drop-down-Liste die entsprechenden Ergebnistypen aus.

  7. Geben Sie den folgenden Platzhalter ein, um den Parameter Name der Suche zu konfigurieren: [Alert.TicketID]

    Der Platzhalter ruft dynamisch Ergebnisnamen ab, die ausgewählten Benachrichtigungen.

  8. Wenn Sie Ergebnisse ausblenden möchten, setzen Sie den Parameter Mute Status auf Mute.

  9. Klicken Sie auf Ausführen.

Einzelne Ergebnisse ausblenden

Wenn Sie eine einzelne Feststellung stummschalten möchten, müssen Sie die Aktion Ergebnis aktualisieren auf eine bestimmte Benachrichtigung im Fall ausführen. Die Aktion wirkt sich nicht auf andere Benachrichtigungen aus im Fall.

Führen Sie die folgenden Schritte aus, um ein einzelnes Ergebnis auszublenden:

  1. Klicken Sie in der Security Operations Console auf Cases (Fälle).
  2. Wählen Sie einen Fall mit den Ergebnissen aus, die ausgeblendet werden sollen.
  3. Wählen Sie in einem Fall die Benachrichtigung mit einem Ergebnis aus, das ausgeblendet werden soll.
  4. Rufen Sie in einer Benachrichtigung den Tab Ereignisse auf.
  5. Wenn Sie den Namen des Ergebnisses aus einem Ereignis abrufen möchten, klicken Sie auf Mehr anzeigen. Die wird die Detailansicht des Ereignisses geöffnet.
  6. Suchen Sie im Bereich Hervorgehobene Felder nach einem Feldnamen vom Typ Name. Klicken Sie auf um den vollständigen Namen des Ergebnisses zu sehen. Kopieren Sie den vollständigen Wert des Namens des Ergebnisses im folgenden Format:

    organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
    
  7. Klicken Sie auf dem Tab Benachrichtigungsübersicht der ausgewählten Benachrichtigung auf Manuelle Aktion.

  8. Geben Sie im Feld Suchen der manuellen Aktion Update Finding ein.

  9. In den Suchergebnissen unter der Integration von GoogleSecurityCommandCenter: wählen Sie die Aktion Befund aktualisieren aus. Das Dialogfeld mit den Aktionen wird geöffnet.

    Standardmäßig ist der Parameter Bei Benachrichtigungen ausführen auf den ausgewählten Benachrichtigungswert festgelegt.

  10. Um den Parameter Finding Name (Name der Fundsache) zu konfigurieren, fügen Sie den Wert Name ein, den Sie aus der Detailansicht des Ereignisses kopiert haben.

  11. Wenn Sie ein Ergebnis ausblenden möchten, setzen Sie den Parameter Ausblendungsstatus auf Ausblenden.

  12. Klicken Sie auf Ausführen.

Nächste Schritte