Ergebnisse in Fällen ausblenden

In diesem Dokument wird beschrieben, wie Sie mithilfe der Funktionen der Security Operations Console die Anzahl der in Security Command Center Enterprise aufgenommenen Ergebnisse reduzieren können.

Übersicht

Wenn Sie Ergebnisse für Fälle in der Security Operations Console stummschalten, werden sie nicht in den Fällen angezeigt. Sie können Ergebnisse im Bulk-Verfahren stummschalten, indem Sie eine manuelle Aktion auf einen Fall ausführen. Sie können auch ein einzelnes Ergebnis stummschalten, indem Sie eine manuelle Aktion auf die entsprechende Benachrichtigung ausführen.

Über den SCC Enterprise – Urgent Posture Findings Connector werden alle Ergebnisse in Anfragen aufgenommen. Es kann jedoch vorkommen, dass bestimmte Ergebnisse für Ihr Projekt irrelevant erscheinen oder auf ein erwartetes Verhalten hinweisen. In diesem Fall kann die Flut von unerheblichen Ergebnissen die Arbeitsbelastung der Sicherheitsanalysten überlasten und sie daran hindern, effektiv auf wichtige Sicherheitslücken zu reagieren. Anstatt ständig über irrelevante Ergebnisse im Security Command Center Enterprise benachrichtigt zu werden, können Sie sie stummschalten.

Mehrere Ergebnisse ausblenden

Wenn Sie alle Ergebnisse in einem Fall stummschalten, wird der Fall in Security Command Center automatisch geschlossen.

So blenden Sie mehrere Ergebnisse in einem Fall aus:

1. Klicken Sie in der Security Operations Console auf Cases (Fälle).
2. Wählen Sie einen Fall mit den Ergebnissen aus, die Sie stummschalten möchten.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie im Feld für die manuelle Aktion Suchen den Wert Update Finding ein.

5. Wählen Sie in den Suchergebnissen unter der Integration GoogleSecurityCommandCenter die Aktion Ergebnis aktualisieren aus. Das Dialogfeld „Aktion“ wird geöffnet.

   Standardmäßig ist der Parameter Bei Benachrichtigungen ausführen auf den Wert Alle Benachrichtigungen festgelegt.

6. Optional: Wenn Sie die Standardeinstellungen des Parameters Bei Benachrichtigungen ausführen ändern möchten, wählen Sie in der Drop-down-Liste die entsprechenden Ergebnistypen aus.

7. Geben Sie den folgenden Platzhalter ein, um den Parameter Finding Name zu konfigurieren: [Alert.TicketID]

   Über den Platzhalter werden dynamisch Fundnamen abgerufen, die den ausgewählten Benachrichtigungen entsprechen.

8. Wenn Sie Ergebnisse ausblenden möchten, setzen Sie den Parameter Mute Status auf Mute.

9. Klicken Sie auf Ausführen.

Einzelne Ergebnisse ausblenden

Wenn Sie eine einzelne Feststellung stummschalten möchten, müssen Sie die Aktion Ergebnis aktualisieren auf eine bestimmte Benachrichtigung im Fall ausführen. Die Aktion hat keine Auswirkungen auf andere Benachrichtigungen im Fall.

So blenden Sie einzelne Ergebnisse aus:

1. Klicken Sie in der Security Operations Console auf Cases (Fälle).
2. Wählen Sie einen Fall mit den Ergebnissen aus, die Sie stummschalten möchten.
3. Wählen Sie in einem Fall die Benachrichtigung mit dem Ergebnis aus, das Sie stummschalten möchten.
4. Rufen Sie in einer Benachrichtigung den Tab Ereignisse auf.
5. Wenn Sie den Namen des Ergebnisses aus einem Ereignis abrufen möchten, klicken Sie auf Mehr anzeigen. Die Detailansicht des Ereignisses wird geöffnet.

6. Suchen Sie im Bereich Hervorgehobene Felder nach einem Feldnamen vom Typ Name. Klicken Sie auf den Wert, um den vollständigen Namen des Ergebnisses zu sehen. Kopieren Sie den vollständigen Wert des Namens des Ergebnisses im folgenden Format:

   organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
   

7. Klicken Sie auf dem Tab Benachrichtigungsübersicht der ausgewählten Benachrichtigung auf Manuelle Aktion.

8. Geben Sie im Feld Suchen der manuellen Aktion Update Finding ein.

9. Wählen Sie in den Suchergebnissen unter der Integration GoogleSecurityCommandCenter die Aktion Ergebnis aktualisieren aus. Das Dialogfeld „Aktion“ wird geöffnet.

   Standardmäßig ist der Parameter Bei Benachrichtigungen ausführen auf den ausgewählten Benachrichtigungswert festgelegt.

10. Um den Parameter Finding Name (Name der Fundsache) zu konfigurieren, fügen Sie den Wert Name ein, den Sie aus der Detailansicht des Ereignisses kopiert haben.

11. Wenn Sie ein Ergebnis ausblenden möchten, legen Sie den Parameter Ausblendungsstatus auf Ausblenden fest.

12. Klicken Sie auf Ausführen.

Nächste Schritte

• Weitere Informationen zum Ausblenden von Ergebnissen im Security Command Center

• Weitere Informationen zu den Fällen finden Sie in der Google SecOps-Dokumentation.