Ergebnisse in Fällen ausblenden

In diesem Dokument wird beschrieben, wie das Ausblenden von Ergebnissen mithilfe der Funktionen der Security Operations Console dazu beitragen kann, die Anzahl der in Security Command Center Enterprise aufgenommenen Ergebnisse zu reduzieren.

Anfragen, Benachrichtigungen und der SCC Enterprise – Urgent Posture Findings Connector sind eine Funktion von Google Security Operations.

Überblick

Wenn Sie Ergebnisse für Fälle in der Security Operations-Konsole ausblenden, wird verhindert, dass sie in Fällen angezeigt werden. Sie können Ergebnisse im Bulk ausblenden, indem Sie eine manuelle Maßnahme für einen Fall ausführen oder ein einzelnes Ergebnis ausblenden, indem Sie eine manuelle Maßnahme für die jeweilige Benachrichtigung ausführen.

Der SCC Enterprise – Urgent Posture Findings Connector nimmt alle Ergebnisse in Supportanfragen auf. Unter Umständen fallen Ihnen jedoch bestimmte Ergebnisse auf, die für Ihr Projekt irrelevant erscheinen oder auf ein erwartetes Verhalten hindeuten. In diesem Fall kann der Fluss vernachlässigbarer Ergebnisse die Arbeitslast des Sicherheitsanalysten überfordern und Analysten daran hindern, effektiv auf wichtige Sicherheitslücken zu reagieren. Anstatt ständig über vorhandene irrelevante Ergebnisse in Security Command Center Enterprise benachrichtigt zu werden, können Sie diese ausblenden.

Mehrere Ergebnisse ausblenden

Wenn Sie alle Ergebnisse in einem Fall ausblenden, wird der Fall von Security Command Center automatisch geschlossen.

Führen Sie die folgenden Schritte aus, um mehrere Ergebnisse in einem Fall auszublenden:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
2. Wählen Sie einen Fall mit den Ergebnissen aus, die ausgeblendet werden sollen.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie im Feld Suchen der manuellen Maßnahme Update Finding ein.

5. Wählen Sie in den Suchergebnissen unter der Integration von GoogleSecurityCommandCenter die Aktion Update Update (Befund aktualisieren) aus. Das Dialogfeld mit den Aktionen wird geöffnet.

   Standardmäßig ist der Parameter Bei Benachrichtigungen ausführen auf den Wert Alle Benachrichtigungen festgelegt.

6. Optional: Wenn Sie die Standardeinstellungen des Parameters Run on Alerts ändern möchten, wählen Sie die entsprechenden Ergebnistypen aus der Drop-down-Liste aus.

7. Geben Sie den folgenden Platzhalter ein, um den Parameter Ergebnisname zu konfigurieren: [Alert.TicketID]

   Der Platzhalter ruft dynamisch Ergebnisnamen ab, die den ausgewählten Benachrichtigungen entsprechen.

8. Wenn Sie Ergebnisse ausblenden möchten, setzen Sie den Parameter Ausblendungsstatus auf Ausblenden.

9. Klicken Sie auf Ausführen.

Einzelne Ergebnisse ausblenden

Wenn Sie ein einzelnes Ergebnis ausblenden möchten, müssen Sie die Aktion Ergebnis aktualisieren für eine bestimmte Benachrichtigung der Anfrage ausführen. Die Maßnahme wirkt sich nicht auf andere Benachrichtigungen in diesem Fall aus.

Führen Sie die folgenden Schritte aus, um ein einzelnes Ergebnis auszublenden:

1. Gehen Sie in der Security Operations-Konsole zu Cases (Fälle).
2. Wählen Sie einen Fall mit den Ergebnissen aus, die ausgeblendet werden sollen.
3. Wählen Sie in einem Fall die Benachrichtigung mit einem Ergebnis aus, das ausgeblendet werden soll.
4. Rufen Sie in einer Benachrichtigung den Tab Ereignisse auf.
5. Wenn Sie den Ergebnisnamen aus einem Termin abrufen möchten, klicken Sie auf Mehr anzeigen. Die Detailansicht des Termins wird geöffnet.

6. Suchen Sie im Abschnitt Hervorgehobene Felder nach dem Feldnamen Name. Klicken Sie auf den Wert, um den vollständigen Namen des Ergebnisses zu sehen. Kopieren Sie den vollständigen Wert des Ergebnisnamens im folgenden Format:

   organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
   

7. Klicken Sie auf dem Tab Benachrichtigungsübersicht der ausgewählten Benachrichtigung auf Manuelle Aktion.

8. Geben Sie in das Feld Suchen der manuellen Maßnahme Update Finding ein.

9. Wählen Sie in den Suchergebnissen unter der Integration von GoogleSecurityCommandCenter die Aktion Update Update (Befund aktualisieren) aus. Das Dialogfeld mit den Aktionen wird geöffnet.

   Standardmäßig ist der Parameter Run on Alerts auf den ausgewählten Benachrichtigungswert eingestellt.

10. Fügen Sie zum Konfigurieren des Parameters Finding Name den Wert Name ein, den Sie aus der Detailansicht des Ereignisses kopiert haben.

11. Wenn Sie ein Ergebnis ausblenden möchten, setzen Sie den Parameter Ausblendungsstatus auf Ausblenden.

12. Klicken Sie auf Ausführen.

Nächste Schritte

• Ergebnisse in Security Command Center ausblenden

• Weitere Informationen zu Fällen finden Sie in der Google SecOps-Dokumentation.