In diesem Dokument wird beschrieben, wie Sie mithilfe der Funktionen der Security Operations Console die Anzahl der in Security Command Center Enterprise aufgenommenen Ergebnisse reduzieren können.
Übersicht
Wenn Sie Ergebnisse für Anfragen in der Security Operations Console stummschalten, werden sie nicht in Anfragen angezeigt. Sie können Ergebnisse im Bulk ausblenden, indem Sie eine manuelle oder ein einzelnes Ergebnis ausblenden, indem Sie eine manuelle Maßnahme bestimmte Benachrichtigung.
Über den SCC Enterprise – Urgent Posture Findings Connector werden alle Ergebnisse in Anfragen aufgenommen. Es kann jedoch vorkommen, dass bestimmte Ergebnisse für Ihr Projekt irrelevant erscheinen oder auf ein erwartetes Verhalten hinweisen. In diesem Fall würde der Fluss vernachlässigbarer Ergebnisse die Arbeitslast der Sicherheitsanalysten zu kompliziert machen und Analysten daran hindern, effektiv auf wichtige Schwachstellen reagieren. Anstatt ständig über irrelevante Ergebnisse im Security Command Center Enterprise benachrichtigt zu werden, können Sie sie stummschalten.
Mehrere Ergebnisse ausblenden
Wenn Sie alle Ergebnisse in einem Fall ausblenden, schließt Security Command Center automatisch das Fall.
Führen Sie die folgenden Schritte aus, um mehrere Ergebnisse in einem Fall auszublenden:
- Klicken Sie in der Security Operations Console auf Cases (Fälle).
- Wählen Sie einen Fall mit den Ergebnissen aus, die Sie ausblenden möchten.
- Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
- Geben Sie im Feld für die manuelle Aktion Suchen den Wert
Update Finding
ein. Wählen Sie in den Suchergebnissen unter der Integration GoogleSecurityCommandCenter die Aktion Ergebnis aktualisieren aus. Das Dialogfeld „Aktion“ wird geöffnet.
Standardmäßig ist der Parameter Bei Alerts ausführen auf Alle Warnungen eingestellt. Wert.
Optional: Wenn Sie die Standardeinstellungen des Parameters Bei Benachrichtigungen ausführen ändern möchten, wählen Sie in der Drop-down-Liste die entsprechenden Ergebnistypen aus.
Geben Sie den folgenden Platzhalter ein, um den Parameter Name der Suche zu konfigurieren:
[Alert.TicketID]
Der Platzhalter ruft dynamisch Ergebnisnamen ab, die ausgewählten Benachrichtigungen.
Wenn Sie Ergebnisse ausblenden möchten, setzen Sie den Parameter Mute Status auf Mute.
Klicken Sie auf Ausführen.
Einzelne Ergebnisse ausblenden
Wenn Sie eine einzelne Feststellung stummschalten möchten, müssen Sie die Aktion Ergebnis aktualisieren auf eine bestimmte Benachrichtigung im Fall ausführen. Die Aktion wirkt sich nicht auf andere Benachrichtigungen aus im Fall.
Führen Sie die folgenden Schritte aus, um ein einzelnes Ergebnis auszublenden:
- Klicken Sie in der Security Operations Console auf Cases (Fälle).
- Wählen Sie einen Fall mit den Ergebnissen aus, die ausgeblendet werden sollen.
- Wählen Sie in einem Fall die Benachrichtigung mit einem Ergebnis aus, das ausgeblendet werden soll.
- Rufen Sie in einer Benachrichtigung den Tab Ereignisse auf.
- Wenn Sie den Namen des Ergebnisses aus einem Ereignis abrufen möchten, klicken Sie auf Mehr anzeigen. Die wird die Detailansicht des Ereignisses geöffnet.
Suchen Sie im Bereich Hervorgehobene Felder nach einem Feldnamen vom Typ Name. Klicken Sie auf um den vollständigen Namen des Ergebnisses zu sehen. Kopieren Sie den vollständigen Wert des Namens des Ergebnisses im folgenden Format:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
Klicken Sie auf dem Tab Benachrichtigungsübersicht der ausgewählten Benachrichtigung auf Manuelle Aktion.
Geben Sie im Feld Suchen der manuellen Aktion
Update Finding
ein.In den Suchergebnissen unter der Integration von GoogleSecurityCommandCenter: wählen Sie die Aktion Befund aktualisieren aus. Das Dialogfeld mit den Aktionen wird geöffnet.
Standardmäßig ist der Parameter Bei Benachrichtigungen ausführen auf den ausgewählten Benachrichtigungswert festgelegt.
Um den Parameter Finding Name (Name der Fundsache) zu konfigurieren, fügen Sie den Wert Name ein, den Sie aus der Detailansicht des Ereignisses kopiert haben.
Wenn Sie ein Ergebnis ausblenden möchten, setzen Sie den Parameter Ausblendungsstatus auf Ausblenden.
Klicken Sie auf Ausführen.
Nächste Schritte
Weitere Informationen zum Ausblenden von Ergebnissen im Security Command Center
Weitere Informationen zu den Fällen finden Sie in der Google SecOps-Dokumentation.