Silenciar descobertas nos casos

Este documento descreve como silenciar descobertas usando o Os recursos do console de Operações de Segurança podem ajudar a reduzir descobertas ingeridas no Security Command Center Enterprise.

Visão geral

A desativação de descobertas para casos no console de operações de segurança impede que elas apareçam nos casos. Para silenciar as descobertas em massa, execute uma reunião em um caso ou silenciar uma descoberta individual executando uma ação manual no um alerta específico.

O SCC Enterprise - Urgent Posture Findings Connector ingere todas as descobertas em casos, mas você pode notar descobertas específicas que parecem irrelevantes para seu projeto ou indicam um comportamento esperado. Nesse caso, o fluxo de descobertas podem complicar demais a carga de trabalho dos analistas de segurança e impedir que eles de responder efetivamente a vulnerabilidades importantes. Em vez de ser receber notificações constantes sobre as descobertas irrelevantes no Security Command Center. Enterprise, você pode silenciá-las.

Silenciar várias descobertas

Se você silenciar todas as descobertas de um caso, o Security Command Center vai fechar o caso automaticamente.

Para silenciar várias descobertas em um caso, siga estas etapas:

  1. No console de Operações de Segurança, acesse Casos.
  2. Selecione um caso com as descobertas que você quer silenciar.
  3. Na guia Visão geral do caso, clique em Ação manual.
  4. No campo Pesquisa da ação manual, insira Update Finding.
  5. Nos resultados da pesquisa, na integração GoogleSecurityCommandCenter, selecione a ação Update Finding. A janela de diálogo de ação é aberta.

    Por padrão, o parâmetro Executar em alertas é definido como Todos os alertas .

  6. Opcional: para alterar as configurações padrão do parâmetro Executar em alertas, selecione os tipos de descoberta relevantes na lista suspensa.

  7. Para configurar o parâmetro Finding Name, insira o seguinte marcador de posição: [Alert.TicketID]

    O marcador de posição recupera dinamicamente os nomes de descobertas que correspondem aos alertas selecionados.

  8. Para desativar o som das descobertas, defina o parâmetro Status de desativação do som como Desativado.

  9. Clique em Executar.

Desativar o som de uma descoberta específica

Para silenciar uma descoberta individual, você precisa executar a ação Atualizar descoberta na um alerta específico no caso. A ação não afeta outros alertas no caso.

Para silenciar uma descoberta individual, siga estas etapas:

  1. No console de operações de segurança, acesse Casos.
  2. Selecione um caso que contém as descobertas que você quer silenciar.
  3. Em um caso, selecione o alerta que contém uma descoberta a ser silenciada.
  4. Em um alerta, acesse a guia Eventos.
  5. Para recuperar um nome de descoberta de um evento, clique em Ver mais. O a visualização detalhada do evento é aberta.
  6. Na seção Campos em destaque, encontre um campo Nome. Clique no valor para ver o nome completo da descoberta. Copiar a descoberta completa name no seguinte formato:

    organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
    
  7. Na guia Visão geral do alerta do alerta selecionado, clique em Ação manual.

  8. No campo Pesquisar de ação manual, insira Update Finding.

  9. Nos resultados da pesquisa, na integração GoogleSecurityCommandCenter, Selecione a ação Atualizar descoberta. A janela de diálogo de ação é aberta.

    Por padrão, o parâmetro Run on Alerts é definido como o valor de alerta selecionado.

  10. Para configurar o parâmetro Nome da descoberta, cole o valor Nome que você copiou da visualização detalhada do evento.

  11. Para silenciar uma descoberta, defina o parâmetro Status de silenciamento como Silenciar.

  12. Clique em Executar.

A seguir