Cómo silenciar resultados en casos

En este documento, se describe cómo silenciar resultados con el Las funciones de la consola de operaciones de seguridad pueden ayudar a reducir la cantidad de de hallazgos transferidos en Security Command Center Enterprise.

Descripción general

Si silencias los hallazgos de los casos en la consola de Security Operations, se evitará que aparezcan en los casos. Para silenciar hallazgos de forma masiva, ejecuta una acción manual en un caso o, para silenciar un hallazgo individual, ejecuta una acción manual en la alerta específica.

El Conector de SCC Enterprise - Urgent Posture Findings transfiere todos los hallazgos a los casos, pero es posible que observes hallazgos específicos que parecen irrelevantes para tu proyecto o que indican un comportamiento esperado. En este caso, el flujo de hallazgos mínimos podría complicar demasiado la carga de trabajo de los analistas de seguridad y evitar que respondan de manera eficaz a vulnerabilidades importantes. En lugar de recibir notificaciones constantes sobre los resultados irrelevantes existentes en Security Command Center Enterprise, puedes silenciarlos.

Cómo silenciar varios resultados

Si silencias todos los resultados de un caso, Security Command Center cierra para determinar si este es el caso.

Para silenciar varios resultados de un caso, completa los siguientes pasos:

  1. En la consola de Operaciones de seguridad, ve a Casos.
  2. Selecciona un caso que contenga los hallazgos que quieras silenciar.
  3. En la pestaña Descripción general del caso, haz clic en Acción manual.
  4. En el campo Buscar de la acción manual, ingresa Update Finding.

  5. En los resultados de la búsqueda en la integración de GoogleSecurityCommandCenter, selecciona la acción Actualizar resultado. Se abrirá la ventana del cuadro de diálogo de acción.

    De forma predeterminada, el parámetro Run on Alerts se establece en el valor All Alerts.

  6. Opcional: Para cambiar la configuración predeterminada del parámetro Run on Alerts, selecciona los tipos de resultados relevantes de la lista desplegable.

  7. Para configurar el parámetro Finding Name, ingresa el siguiente marcador de posición: [Alert.TicketID]

    El marcador de posición recupera de forma dinámica los nombres de resultados que corresponden alertas seleccionadas.

  8. Para silenciar los resultados, establece el parámetro Estado de silencio en Silenciar.

  9. Haz clic en Ejecutar.

Silenciar un hallazgo individual

Para silenciar un hallazgo individual, debes ejecutar la acción Actualizar hallazgo en una alerta específica del caso. La acción no afecta a otras alertas del caso.

Para silenciar un hallazgo individual, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Casos.
  2. Selecciona un caso que contenga los resultados que quieres silenciar.
  3. En un caso, selecciona la alerta que contiene un resultado para silenciarla.
  4. En una alerta, ve a la pestaña Eventos.
  5. Para recuperar el nombre del hallazgo de un evento, haz clic en Ver más. El se abrirá una vista detallada del evento.

  6. En la sección Campos destacados, busca un nombre de campo Name. Haz clic en su valor para ver el nombre completo del hallazgo. Copiar el hallazgo completo de nombre de la organización en el siguiente formato:

    organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID

  7. En la pestaña Descripción general de la alerta de la alerta seleccionada, haz clic en Acción manual:

  8. En el campo Buscar de la acción manual, ingresa Update Finding.

  9. En los resultados de la búsqueda de la integración de GoogleSecurityCommandCenter, selecciona la acción Update Finding. Se abrirá la ventana del cuadro de diálogo de acción.

    De forma predeterminada, el parámetro Run on Alerts se establece en el valor de alerta seleccionado.

  10. Para configurar el parámetro Finding Name, pega el valor de Name que copiaste de la vista de detalles del evento.

  11. Para silenciar un resultado, establece el parámetro Estado de silencio en Silenciar.

  12. Haz clic en Ejecutar.

Próximos pasos