Este documento descreve como silenciar descobertas usando o Os recursos do console de Operações de Segurança podem ajudar a reduzir descobertas ingeridas no Security Command Center Enterprise.
Casos, alertas e o conector de descobertas de posturas urgentes do SCC Enterprise (em inglês) são funcionalidades com a tecnologia das Operações de segurança do Google.
Visão geral
Ignorar as descobertas de casos no console de Operações de Segurança impede que eles não apareçam nos casos. Para silenciar as descobertas em massa, execute uma reunião em um caso ou silenciar uma descoberta individual executando uma ação manual no um alerta específico.
O conector de descobertas de posturas urgentes do SCC Enterprise ingere todas as descobertas. em casos, mas você pode notar descobertas específicas que parecem irrelevantes para seus projeto ou indicar um comportamento esperado. Nesse caso, o fluxo de descobertas podem complicar demais a carga de trabalho dos analistas de segurança e impedir que eles de responder efetivamente a vulnerabilidades importantes. Em vez de ser receber notificações constantes sobre as descobertas irrelevantes no Security Command Center. Enterprise, você pode silenciá-las.
Silenciar várias descobertas
Se você silenciar todas as descobertas em um caso, o Security Command Center fechará automaticamente o caso.
Para silenciar várias descobertas em um caso, siga estas etapas:
- No console de Operações de Segurança, acesse Casos.
- Selecione um caso com as descobertas que você quer silenciar.
- Na guia Visão geral do caso, clique em Ação manual.
- No campo Pesquisar de ação manual, insira
Update Finding. Nos resultados da pesquisa na integração GoogleSecurityCommandCenter, Selecione a ação Atualizar descoberta. A janela da caixa de diálogo de ação é aberta.
Por padrão, o parâmetro Executar em alertas é definido como Todos os alertas .
Opcional: para alterar as configurações padrão do parâmetro Executar em alertas, selecione os tipos de descoberta relevantes na lista suspensa.
Para configurar o parâmetro Finding Name, insira o seguinte marcador de posição:
[Alert.TicketID]O marcador de posição recupera dinamicamente os nomes de descoberta que correspondem alertas selecionados.
Para silenciar as descobertas, defina o parâmetro Status de silenciamento como Silenciar.
Clique em Executar.
Desativar o som de uma descoberta específica
Para silenciar uma descoberta individual, você precisa executar a ação Atualizar descoberta na um alerta específico no caso. A ação não afeta outros alertas. nesse caso.
Para silenciar uma descoberta individual, siga estas etapas:
- No console de Operações de Segurança, acesse Casos.
- Selecione um caso com as descobertas que você quer silenciar.
- Em um caso, selecione o alerta que contém uma descoberta a ser silenciada.
- Em um alerta, acesse a guia Eventos.
- Para recuperar um nome de descoberta de um evento, clique em Ver mais. O do evento é aberta.
Na seção Campos destacados, encontre o nome do campo Nome. Clique em seu valor para ver o nome completo da descoberta. Copiar a descoberta completa name no seguinte formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDNa guia Visão geral do alerta do alerta selecionado, clique em Ação manual.
No campo Pesquisar de ação manual, insira
Update Finding.Nos resultados da pesquisa na integração GoogleSecurityCommandCenter, Selecione a ação Atualizar descoberta. A janela da caixa de diálogo de ação é aberta.
Por padrão, o parâmetro Executar em alertas é definido para o alerta selecionado .
Para configurar o parâmetro Nome da descoberta, cole o valor Nome que que você copiou da visualização detalhada do evento.
Para silenciar uma descoberta, defina o parâmetro Status de silenciamento como Silenciar.
Clique em Executar.
A seguir
Saiba como silenciar descobertas no Security Command Center.
Saiba mais sobre os casos na documentação do Google SecOps.