En este documento, se describe cómo silenciar los resultados con las funciones de la consola de Security Operations puede ayudar a reducir la cantidad de resultados transferidos a Security Command Center Enterprise.
Descripción general
Si silencias los hallazgos de los casos en la consola de Security Operations, se evitará que aparezcan en los casos. Para silenciar hallazgos de forma masiva, ejecuta una acción manual en un caso o silencia un hallazgo individual ejecutando una acción manual en la alerta específica.
El Conector de SCC Enterprise - Urgent Posture Findings transfiere todos los hallazgos a los casos, pero es posible que observes hallazgos específicos que parecen irrelevantes para tu proyecto o que indican un comportamiento esperado. En este caso, el flujo de hallazgos mínimos podría complicar demasiado la carga de trabajo de los analistas de seguridad y evitar que respondan de manera eficaz a vulnerabilidades importantes. En lugar de recibir notificaciones constantes sobre los resultados irrelevantes existentes en Security Command Center Enterprise, puedes silenciarlos.
Cómo silenciar varios resultados
Si silencias todos los resultados de un caso, Security Command Center lo cerrará automáticamente.
Para silenciar varios resultados en un caso, completa los siguientes pasos:
- En la consola de Security Operations, ve a Casos.
- Selecciona un caso que contenga los resultados que quieres silenciar.
- En la pestaña Descripción general del caso, haz clic en Acción manual.
- En el campo de acción manual Buscar, ingresa
Update Finding. En los resultados de la búsqueda de la integración de GoogleSecurityCommandCenter, selecciona la acción Update Finding. Se abrirá la ventana del cuadro de diálogo de acción.
De forma predeterminada, el parámetro Run on Alerts se establece en el valor All Alerts.
Opcional: Para cambiar la configuración predeterminada del parámetro Run on Alerts, selecciona los tipos de resultados relevantes de la lista desplegable.
Para configurar el parámetro Finding Name, ingresa el siguiente marcador de posición:
[Alert.TicketID]El marcador de posición recupera de forma dinámica los nombres de los hallazgos que corresponden a las alertas seleccionadas.
Para silenciar los resultados, establece el parámetro Mute Status en Mute.
Haz clic en Ejecutar.
Cómo silenciar un resultado individual
Para silenciar un hallazgo individual, debes ejecutar la acción Actualizar hallazgo en una alerta específica del caso. La acción no afecta a otras alertas del caso.
Para silenciar un resultado individual, sigue estos pasos:
- En la consola de Security Operations, ve a Casos.
- Selecciona un caso que contenga los resultados que quieres silenciar.
- En un caso, selecciona la alerta que contiene un resultado para silenciarla.
- En una alerta, ve a la pestaña Eventos.
- Para recuperar un nombre de hallazgo de un evento, haz clic en Ver más. Se abrirá la vista detallada del evento.
En la sección Campos destacados, busca un nombre de campo Nombre. Haz clic en su valor para ver el nombre completo del hallazgo. Copia el valor completo del nombre del hallazgo en el siguiente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDEn la pestaña Descripción general de la alerta de la alerta seleccionada, haz clic en Acción manual.
En el campo de acción manual Buscar, ingresa
Update Finding.En los resultados de la búsqueda de la integración de GoogleSecurityCommandCenter, selecciona la acción Update Finding. Se abrirá la ventana del cuadro de diálogo de acción.
De forma predeterminada, el parámetro Run on Alerts se establece en el valor de alerta seleccionado.
Para configurar el parámetro Finding Name, pega el valor de Name que copiaste de la vista de detalles del evento.
Para silenciar un resultado, establece el parámetro Estado de elementos silenciados en Silenciar.
Haz clic en Ejecutar.
Próximos pasos
Obtén información para silenciar resultados en Security Command Center.
Obtén más información sobre los casos en la documentación de SecOps de Google.