このドキュメントでは Security Operations コンソール機能を使用して検出結果をミュートすることで、Security Command Center Enterprise に取り込まれる検出結果の数を減らす方法について説明します。
概要
Security Operations コンソールでケースの検出結果をミュートすると、ケースに検出結果が表示されなくなります。検出結果をまとめてミュートするには、ケースに対して手動アクションを実行します。また、特定のアラートに対して手動アクションを実行して、個々の検出結果をミュートすることもできます。
SCC Enterprise - Urgent Posture Findings Connector は、すべての検出結果をケースに取り込みますが、特定の検出結果でプロジェクトとは無関係と思われる場合や、予想される動作を示す場合があります。この場合、ごく一部の検出結果のフローでセキュリティ アナリストのワークロードが過度に複雑化し、アナリストが重要な脆弱性に効果的に対処できなくなる可能性があります。Security Command Center Enterprise では、既存の無関係な検出結果について常に通知を受けるのではなく、ミュートできます。
複数の検出結果をミュートする
ケースですべての検出結果をミュートすると、Security Command Center はケースを自動的に閉じます。
1 つのケースで複数の検出結果をミュートするには、次の手順を実行します。
- Security Operations コンソールで、[ケース] に移動します。
- ミュートする検出結果を含むケースを選択します。
- [ケースの概要] タブで [手動での対応] をクリックします。
- [手動での対応] の [検索] フィールドに「
Update Finding
」と入力します。 GoogleSecurityCommandCenter 統合の検索結果で、[Update Finding] アクションを選択します。アクション ダイアログ ウィンドウが開きます。
デフォルトでは、[アラートに対して実行] パラメータは [すべてのアラート] の値に設定されています。
省略可: [アラートに対して実行] パラメータのデフォルト設定を変更するには、プルダウン リストから関連する検出結果のタイプを選択します。
[Finding Name] パラメータを構成するには、プレースホルダ「
[Alert.TicketID]
」を入力します。このプレースホルダは、選択したアラートに一致する検出結果の名前を動的に取得します。
検出結果をミュートするには、[ミュートのステータス] パラメータを [ミュート] に設定します。
[実行] をクリックします。
個別の検出結果をミュートする
個々の検出結果をミュートするには、ケースで特定のアラートに対して「検出結果の更新」アクションを実行する必要があります。この操作は、ケースの他のアラートには影響しません。
検出結果を個別にミュートするには、次の手順を実行します。
- Security Operations コンソールで、[ケース] に移動します。
- ミュートする検出結果を含むケースを選択します。
- ケースでミュートする検出結果を含むアラートを選択します。
- アラートで [イベント] タブに移動します。
- イベントから検出結果の名前を取得するには、[詳細] をクリックします。イベントの詳細ビューが開きます。
[Highlighted Fields] セクションで [名前] フィールド名を探します。その値をクリックすると、完全な検出結果名が表示されます。検出結果の完全な名前の値を次の形式でコピーします。
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
選択したアラートの [Alert Overview] タブで、[手動での対応] をクリックします。
[手動での対応] の [検索] フィールドに「
Update Finding
」と入力します。GoogleSecurityCommandCenter 統合の検索結果で、[Update Finding] アクションを選択します。アクション ダイアログ ウィンドウが開きます。
デフォルトでは、[アラートに対して実行] パラメータは選択したアラート値に設定されています。
[Finding Name] パラメータを構成するには、イベントの詳細ビューからコピーした [Name] 値を貼り付けます。
検出結果をミュートするには、[ミュートのステータス] パラメータを [ミュート] に設定します。
[実行] をクリックします。
次のステップ
ケースについて詳しくは、Google SecOps ドキュメントをご覧ください。