Questo documento descrive in che modo la disattivazione dei risultati utilizzando le funzionalità della console Security Operations può contribuire a ridurre il numero di risultati importati in Security Command Center Enterprise.
Panoramica
La disattivazione dei risultati per le richieste nella console Security Operations ne impedisce la visualizzazione nelle richieste. Puoi disattivare collettivamente i risultati eseguendo una su una richiesta o disattivare un singolo risultato eseguendo un'azione manuale un avviso specifico.
Il connettore SCC Enterprise - Urgent Posture Findings importa tutti i risultati casi, ma potresti notare risultati specifici che sembrano non pertinenti progetto o indicare un comportamento previsto. In questo caso, il flusso di risultati irrilevanti potrebbe complicare eccessivamente il carico di lavoro degli analisti della sicurezza e impedire loro di rispondere efficacemente a vulnerabilità importanti. Invece di essere costantemente informati sui risultati irrilevanti esistenti in Security Command Center Enterprise, puoi disattivarli.
Disattivare più risultati
Se disattivi tutti i risultati di una richiesta, Security Command Center chiude automaticamente la richiesta.
Per disattivare più risultati in una richiesta, completa i seguenti passaggi:
- Nella console Security Operations, vai a Cases.
- Seleziona una richiesta contenente i risultati da disattivare.
- Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
- Nel campo Ricerca dell'azione manuale, inserisci
Update Finding. Nei risultati di ricerca sotto l'integrazione di GoogleSecurityCommandCenter, Seleziona l'azione Aggiorna risultato. Si apre la finestra di dialogo delle azioni.
Per impostazione predefinita, il parametro Esegui sugli avvisi è impostato su Tutti gli avvisi. valore.
(Facoltativo) Per modificare le impostazioni predefinite del parametro Esegui su avvisi, seleziona i tipi di risultati pertinenti dall'elenco a discesa.
Per configurare il parametro Nome ricerca, inserisci il seguente segnaposto:
[Alert.TicketID]Il segnaposto recupera dinamicamente i nomi dei risultati corrispondenti agli avvisi selezionati.
Per disattivare i risultati, imposta il parametro Stato disattivazione su Disattiva.
Fai clic su Execute (Esegui).
Disattivare un singolo risultato
La disattivazione di un singolo risultato richiede l'esecuzione dell'azione Aggiorna risultato di un avviso specifico nella richiesta. L'azione non influisce su altri avvisi nella richiesta.
Per disattivare un singolo risultato, completa i seguenti passaggi:
- Nella console Security Operations, vai a Cases.
- Seleziona una richiesta contenente i risultati da disattivare.
- In una richiesta, seleziona l'avviso contenente un risultato da disattivare.
- In un avviso, vai alla scheda Eventi.
- Per recuperare un nome di ricerca da un evento, fai clic su Mostra altro. Si apre la visualizzazione dettagliata dell'evento.
Nella sezione Campi evidenziati, trova un nome campo Nome. Fai clic sul valore per visualizzare il nome completo del rilevamento. Copia il risultato completo valore nel seguente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDNella scheda Panoramica avvisi dell'avviso selezionato, fai clic su Azione manuale.
Nel campo dell'azione manuale Cerca, inserisci
Update Finding.Nei risultati di ricerca dell'integrazione GoogleSecurityCommandCenter, seleziona l'azione Aggiorna rilevamento. Si apre la finestra di dialogo delle azioni.
Per impostazione predefinita, il parametro Esegui su avvisi è impostato sul valore dell'avviso selezionato.
Per configurare il parametro Finding Name (Nome elemento trovato), incolla il valore Name (Nome) che hai copiato dalla visualizzazione dettagliata dell'evento.
Per disattivare l'audio di un rilevamento, imposta il parametro Mute Status (Stato disattivazione) su Mute (Disattiva).
Fai clic su Execute (Esegui).
Passaggi successivi
Scopri come disattivare i risultati in Security Command Center.
Scopri di più sulle richieste nella documentazione di Google SecOps.