Ce document explique comment le masquage des résultats à l'aide des fonctionnalités de la console Security Operations peut contribuer à réduire le nombre de résultats ingérés dans Security Command Center Enterprise.
Présentation
Si vous désactivez les résultats pour les demandes dans la console Security Operations, ils ne s'afficheront plus dans les demandes. Vous pouvez ignorer des résultats de manière groupée en exécutant une action manuelle sur une demande ou ignorer un résultat individuel en exécutant une action manuelle sur l'alerte spécifique.
Le connecteur SCC Enterprise – Urgent Posture Findings ingère tous les résultats. en cas, mais vous remarquerez peut-être des conclusions spécifiques qui ne semblent pas projet ou indiquer un comportement attendu. Dans ce cas, le flux de résultats négligeables peut compliquer la charge de travail des analystes de sécurité et les empêcher de répondre efficacement aux failles importantes. Au lieu d'être constamment informé des résultats non pertinents existants dans Security Command Center Enterprise, vous pouvez les désactiver.
Ignorer plusieurs résultats
Si vous ignorez tous les résultats d'une demande, Security Command Center ferme automatiquement le .
Pour désactiver plusieurs résultats dans une demande, procédez comme suit :
- Dans la console Opérations de sécurité, accédez à Demandes.
- Sélectionnez une demande contenant les résultats à masquer.
- Dans l'onglet Présentation de la demande, cliquez sur Action manuelle.
- Dans le champ Rechercher de l'action manuelle, saisissez
Update Finding. Dans les résultats de recherche, sous l'intégration de GoogleSecurityCommandCenter, sélectionnez l'action Update Finding (Mettre à jour les résultats). La boîte de dialogue d'action s'ouvre.
Par défaut, le paramètre Exécuter sur les alertes est défini sur la valeur Toutes les alertes.
Facultatif: Pour modifier les paramètres par défaut du paramètre Exécuter sur les alertes, sélectionnez les types de résultats pertinents dans la liste déroulante.
Pour configurer le paramètre Finding Name (Nom de recherche), saisissez l'espace réservé suivant :
[Alert.TicketID]L'espace réservé récupère dynamiquement les noms des résultats qui correspondent aux alertes sélectionnées.
Pour ignorer des résultats, définissez le paramètre État du son sur Ignorer.
Cliquez sur Exécuter.
Ignorer un résultat individuel
Pour ignorer un résultat individuel, vous devez exécuter l'action Mettre à jour le résultat sur une alerte spécifique dans le cas. Cette action n'a aucune incidence sur les autres alertes dans l'affaire.
Pour ignorer un résultat individuel, procédez comme suit :
- Dans la console Security Operations, accédez à Demandes.
- Sélectionnez une demande contenant les résultats à masquer.
- Dans un cas, sélectionnez l'alerte contenant un résultat à ignorer.
- Dans une alerte, accédez à l'onglet Événements.
- Pour récupérer un nom du résultat d'un événement, cliquez sur Afficher plus. La vue détaillée de l'événement s'ouvre.
Dans la section Champs mis en surbrillance, recherchez un nom de champ Nom. Cliquez sur sa valeur pour voir le nom complet du résultat. Copiez la valeur complète du nom de la recherche au format suivant :
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDDans l'onglet Présentation de l'alerte de l'alerte sélectionnée, cliquez sur Action manuelle.
Dans le champ Rechercher de l'action manuelle, saisissez
Update Finding.Dans les résultats de recherche, sous l'intégration de GoogleSecurityCommandCenter, sélectionnez l'action Update Finding (Mettre à jour les résultats). La boîte de dialogue d'action s'ouvre.
Par défaut, le paramètre Exécuter sur les alertes est défini sur la valeur d'alerte sélectionnée.
Pour configurer le paramètre Finding Name (Nom de la recherche), collez la valeur Name (Nom) que vous avez copiée depuis la vue détaillée de l'événement.
Pour ignorer un résultat, définissez le paramètre État du son sur Coupure du son.
Cliquez sur Exécuter.
Étape suivante
Découvrez comment ignorer les résultats dans Security Command Center.
En savoir plus sur les demandes dans la documentation Google SecOps.