Ergebnisse in Fällen ausblenden

In diesem Dokument wird beschrieben, wie Sie Ergebnisse mithilfe der Methode Mit den Funktionen der Security Operations-Konsole können Sie in Security Command Center Enterprise aufgenommene Ergebnisse.

Cases, Benachrichtigungen und der SCC Enterprise – Urgent Posture Findings Connector sind eine Funktion, die von Google Security Operations unterstützt wird.

Übersicht

Durch das Ausblenden von Ergebnissen für Fälle in der Security Operations-Konsole wird verhindert, in Cases erscheinen. Sie können Ergebnisse im Bulk ausblenden, indem Sie eine manuelle oder ein einzelnes Ergebnis ausblenden, indem Sie eine manuelle Maßnahme bestimmte Benachrichtigung.

Der SCC Enterprise – Urgent Posture Findings Connector nimmt alle Ergebnisse auf aber Sie bemerken vielleicht bestimmte Ergebnisse, die für Ihre oder auf ein erwartetes Verhalten hinweisen. In diesem Fall würde der Fluss vernachlässigbarer Ergebnisse die Arbeitslast der Sicherheitsanalysten überkomplizieren und verhindern, effektiv auf wichtige Schwachstellen reagieren. Anstelle von Sie werden ständig über irrelevante Ergebnisse in Security Command Center benachrichtigt Enterprise können Sie sie stummschalten.

Mehrere Ergebnisse ausblenden

Wenn Sie alle Ergebnisse in einem Fall ausblenden, schließt Security Command Center automatisch das Fall.

Führen Sie die folgenden Schritte aus, um mehrere Ergebnisse in einem Fall auszublenden:

  1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
  2. Wählen Sie einen Fall mit den Ergebnissen aus, die ausgeblendet werden sollen.
  3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
  4. Geben Sie im Feld Suchen der manuellen Maßnahme Update Finding ein.

  5. In den Suchergebnissen unter der Integration von GoogleSecurityCommandCenter: wählen Sie die Aktion Befund aktualisieren aus. Das Dialogfeld mit den Aktionen wird geöffnet.

    Standardmäßig ist der Parameter Bei Alerts ausführen auf Alle Warnungen eingestellt. Wert.

  6. Optional: Um die Standardeinstellungen des Parameters Run on Alerts zu ändern, wählen Sie die relevanten Ergebnistypen aus der Drop-down-Liste aus.

  7. Geben Sie den folgenden Platzhalter ein, um den Parameter Name der Suche zu konfigurieren: [Alert.TicketID]

    Der Platzhalter ruft dynamisch Ergebnisnamen ab, die ausgewählten Benachrichtigungen.

  8. Wenn Sie Ergebnisse ausblenden möchten, setzen Sie den Parameter Ausblendungsstatus auf Ausblenden.

  9. Klicken Sie auf Ausführen.

Einzelne Ergebnisse ausblenden

Wenn Sie ein einzelnes Ergebnis ausblenden möchten, müssen Sie die Aktion Ergebnis aktualisieren für Benachrichtigung erhalten. Die Aktion wirkt sich nicht auf andere Benachrichtigungen aus im Fall.

Führen Sie die folgenden Schritte aus, um ein einzelnes Ergebnis auszublenden:

  1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
  2. Wählen Sie einen Fall mit den Ergebnissen aus, die ausgeblendet werden sollen.
  3. Wählen Sie in einem Fall die Benachrichtigung mit einem Ergebnis aus, das ausgeblendet werden soll.
  4. Rufen Sie in einer Benachrichtigung den Tab Ereignisse auf.
  5. Wenn Sie den Ergebnisnamen aus einem Termin abrufen möchten, klicken Sie auf Mehr anzeigen. Die wird die Detailansicht des Ereignisses geöffnet.

  6. Suchen Sie im Abschnitt Hervorgehobene Felder nach dem Feldnamen Name. Klicken Sie auf um den vollständigen Namen des Ergebnisses zu sehen. Vollständiges Ergebnis kopieren Name-Wert im folgenden Format:

    organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID

  7. Klicken Sie auf dem Tab Übersicht der ausgewählten Benachrichtigung auf Manuelle Aktion.

  8. Geben Sie in das Feld Suchen der manuellen Maßnahme Update Finding ein.

  9. In den Suchergebnissen unter der Integration von GoogleSecurityCommandCenter: wählen Sie die Aktion Befund aktualisieren aus. Das Dialogfeld mit den Aktionen wird geöffnet.

    Standardmäßig ist der Parameter Bei Benachrichtigungen ausführen auf die ausgewählte Benachrichtigung eingestellt. Wert.

  10. Fügen Sie zum Konfigurieren des Parameters Finding Name den Wert Name ein, der den Sie aus der Termindetailansicht kopiert haben.

  11. Wenn Sie ein Ergebnis ausblenden möchten, setzen Sie den Parameter Ausblendungsstatus auf Ausblenden.

  12. Klicken Sie auf Ausführen.

Nächste Schritte