Silenciar los resultados en los casos

En este documento, se describe cómo silenciar los resultados mediante las funciones de la consola de operaciones de seguridad puede ayudar a reducir la cantidad de resultados transferidos en Security Command Center Enterprise.

Los casos, las alertas y el conector de resultados urgentes de la postura de la empresa: SCC Enterprise son una funcionalidad con la tecnología de las operaciones de seguridad de Google.

Descripción general

Silenciar los resultados de los casos en la consola de operaciones de seguridad evita que aparezcan en los casos. Puedes silenciar los resultados de forma masiva si ejecutas una acción manual en un caso o puedes silenciar un resultado individual mediante la ejecución de una acción manual en la alerta específica.

SCC Enterprise - Urgent Posture Findings Connectors transfiere todos los resultados a casos, pero es posible que notes resultados específicos que parecen irrelevantes para tu proyecto o indican un comportamiento esperado. En este caso, el flujo de resultados insignificantes puede complicar en exceso la carga de trabajo del analista de seguridad y evitar que los analistas respondan de manera efectiva a vulnerabilidades importantes. En lugar de recibir notificaciones de manera constante sobre los resultados irrelevantes existentes en Security Command Center Enterprise, puedes silenciarlos.

Silenciar varios resultados

Si silencias todos los resultados de un caso, Security Command Center lo cierra automáticamente.

Para silenciar varios hallazgos en un caso, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Cases.
  2. Selecciona un caso que contenga los resultados que deseas silenciar.
  3. En la pestaña Case Overview, haz clic en Manual Action.
  4. En el campo Buscar de la acción manual, ingresa Update Finding.

  5. En los resultados de la búsqueda en la integración GoogleSecurityCommandCenter, selecciona la acción Actualizar resultado. Se abrirá la ventana de diálogo de acciones.

    Según la configuración predeterminada, el parámetro Ejecutar en alertas se configura en el valor Todas las alertas.

  6. Opcional: Para cambiar la configuración predeterminada del parámetro Ejecutar en alertas, selecciona los tipos de resultados relevantes en la lista desplegable.

  7. Para configurar el parámetro Finding Name, ingresa el siguiente marcador de posición: [Alert.TicketID]

    El marcador de posición recupera de forma dinámica los nombres de los resultados que corresponden a las alertas seleccionadas.

  8. Para silenciar los resultados, configura el parámetro Estado de silencio como Silenciar.

  9. Haz clic en Ejecutar.

Silenciar un resultado individual

Para silenciar un resultado individual, debes ejecutar la acción Actualizar resultado en una alerta específica del caso. La acción no afecta otras alertas del caso.

Para silenciar un resultado individual, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Cases.
  2. Selecciona un caso que contenga los resultados que deseas silenciar.
  3. En un caso, selecciona la alerta que contiene un resultado para silenciar.
  4. En una alerta, ve a la pestaña Eventos.
  5. Para recuperar un Nombre de resultado de un evento, haz clic en Ver más. Se abrirá la vista detallada del evento.

  6. En la sección Campos destacados, busca el nombre de campo Nombre. Haz clic en su valor para ver el nombre completo del resultado. Copia el valor completo del nombre del resultado en el siguiente formato:

    organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID

  7. En la pestaña Descripción general de la alerta de la alerta seleccionada, haz clic en Acción manual.

  8. En el campo Buscar de la acción manual, ingresa Update Finding.

  9. En los resultados de la búsqueda en la integración GoogleSecurityCommandCenter, selecciona la acción Actualizar resultado. Se abrirá la ventana de diálogo de acciones.

    De forma predeterminada, el parámetro Ejecutar en alertas se configura en el valor de alerta seleccionado.

  10. Para configurar el parámetro Finding Name, pega el valor Name que copiaste de la vista detallada del evento.

  11. Para silenciar un resultado, configura el parámetro Estado de silencio como Silenciar.

  12. Haz clic en Ejecutar.

Próximos pasos