En este documento, se describe cómo silenciar resultados con el Las funciones de la consola de operaciones de seguridad pueden ayudar a reducir la cantidad de de hallazgos transferidos en Security Command Center Enterprise.
Casos, alertas y el conector de SCC Enterprise: hallazgos urgentes de la postura son una función con la tecnología de Google Security Operations.
Descripción general
Silenciar los resultados de los casos en la consola de operaciones de seguridad evita para evitar que aparezcan en los casos. Puedes silenciar los resultados de forma masiva con un manual realizar una acción manual en un caso o silenciar un resultado individual mediante la ejecución de una acción manual alerta específica.
El conector de SCC Enterprise: Hallazgos de postura urgente transfiere todos los hallazgos en algunos casos, pero podrías notar hallazgos específicos que parecen irrelevantes para tu proyecto o indican un comportamiento esperado. En este caso, el flujo de datos de los resultados podría complicar en exceso la carga de trabajo de un analista de seguridad y impedir que los analistas de responder eficazmente a vulnerabilidades importantes. En lugar de ser notificaciones constantes sobre los resultados irrelevantes existentes en Security Command Center Enterprise, puedes silenciarlos.
Silenciar varios resultados
Si silencias todos los resultados de un caso, Security Command Center cierra para determinar si este es el caso.
Para silenciar varios resultados de un caso, completa los siguientes pasos:
- En la consola de Operaciones de seguridad, ve a Casos.
- Selecciona un caso que contenga los hallazgos que quieras silenciar.
- En la pestaña Case Overview, haz clic en Manual Action.
- En el campo Buscar de la acción manual, ingresa
Update Finding. En los resultados de la búsqueda en la integración de GoogleSecurityCommandCenter, selecciona la acción Actualizar resultado. Se abrirá la ventana de diálogo de acción.
De forma predeterminada, el parámetro Ejecutar en alertas se establece en Todas las alertas valor.
Opcional: Para cambiar la configuración predeterminada del parámetro Ejecutar en alertas, selecciona los tipos de resultados relevantes en la lista desplegable.
Para configurar el parámetro Finding Name, ingresa el siguiente marcador de posición:
[Alert.TicketID]El marcador de posición recupera de forma dinámica los nombres de resultados que corresponden alertas seleccionadas.
Para silenciar los resultados, establece el parámetro Estado de silencio en Silenciar.
Haz clic en Ejecutar.
Silenciar un hallazgo individual
Para silenciar un resultado individual, debes ejecutar la acción Actualizar resultado en una alerta específica del caso. La acción no afecta otras alertas según corresponda.
Para silenciar un hallazgo individual, completa los siguientes pasos:
- En la consola de Operaciones de seguridad, ve a Casos.
- Selecciona un caso que contenga los hallazgos que quieras silenciar.
- En un caso, selecciona la alerta que contenga un resultado para silenciar.
- En una alerta, ve a la pestaña Eventos.
- Para recuperar el nombre del hallazgo de un evento, haz clic en Ver más. El se abrirá una vista detallada del evento.
En la sección Campos destacados, busca el nombre del campo Nombre. Haz clic en su valor para ver el nombre completo del hallazgo. Copiar el hallazgo completo de nombre de la organización en el siguiente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDEn la pestaña Descripción general de la alerta de la alerta seleccionada, haz clic en Acción manual:
En el campo Buscar de la acción manual, ingresa
Update Finding.En los resultados de la búsqueda en la integración de GoogleSecurityCommandCenter, selecciona la acción Actualizar resultado. Se abrirá la ventana de diálogo de acción.
De forma predeterminada, el parámetro Ejecutar en alertas se establece en la alerta seleccionada. valor.
Para configurar el parámetro Finding Name, pega el valor de Name que que copiaste desde la vista detallada del evento.
Para silenciar un resultado, establece el parámetro Estado de silencio en Silenciar.
Haz clic en Ejecutar.
Próximos pasos
Obtén información para silenciar resultados en Security Command Center.
Más información acerca de los casos en la documentación de Google SecOps.