Questo documento descrive la modalità di disattivazione dei risultati utilizzando Le funzionalità di Security Operations Console possono aiutare a ridurre il numero risultati importati in Security Command Center Enterprise.
Richieste, avvisi e SCC Enterprise - Urgent Posture Findings Connector sono una funzionalità di Google Security Operations.
Panoramica
La disattivazione dei risultati per le richieste in Security Operations Console impedisce in alcuni casi. Puoi disattivare collettivamente i risultati eseguendo una su una richiesta o disattivare un singolo risultato eseguendo un'azione manuale un avviso specifico.
Il connettore SCC Enterprise - Urgent Posture Findings importa tutti i risultati casi, ma potresti notare risultati specifici che sembrano non pertinenti progetto o indicare un comportamento previsto. In questo caso, il flusso di traffico trascurabile i risultati potrebbero complicare troppo il carico di lavoro degli analisti della sicurezza e impedire che questi ultimi di rispondere in modo efficace a importanti vulnerabilità. Invece di essere costantemente informati sui risultati irrilevanti esistenti in Security Command Center Enterprise, puoi disattivarli.
Disattiva più risultati
Se disattivi tutti i risultati in una richiesta, Security Command Center chiude automaticamente per verificare se è così.
Per disattivare più risultati in una richiesta, completa i seguenti passaggi:
- Nella Security Operations Console, vai a Richieste.
- Seleziona una richiesta contenente i risultati da disattivare.
- Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
- Nel campo Ricerca dell'azione manuale, inserisci
Update Finding. Nei risultati di ricerca sotto l'integrazione di GoogleSecurityCommandCenter, Seleziona l'azione Aggiorna risultato. Si apre la finestra di dialogo delle azioni.
Per impostazione predefinita, il parametro Esegui sugli avvisi è impostato su Tutti gli avvisi. valore.
(Facoltativo) Per modificare le impostazioni predefinite del parametro Esegui sugli avvisi, seleziona i tipi di risultati pertinenti dall'elenco a discesa.
Per configurare il parametro Finding Name (Nome risultato), inserisci il seguente segnaposto:
[Alert.TicketID]Il segnaposto recupera dinamicamente i nomi dei risultati che corrispondono avvisi selezionati.
Per disattivare i risultati, imposta il parametro Stato disattivazione su Disattiva.
Fai clic su Execute (Esegui).
Disattivare un singolo risultato
La disattivazione di un singolo risultato richiede l'esecuzione dell'azione Aggiorna risultato di un avviso specifico nella richiesta. L'azione non influisce su altri avvisi nel caso in questione.
Per disattivare un singolo risultato, completa i seguenti passaggi:
- Nella Security Operations Console, vai a Richieste.
- Seleziona una richiesta contenente i risultati da disattivare.
- In un caso, seleziona l'avviso contenente un risultato da disattivare.
- In un avviso, vai alla scheda Eventi.
- Per recuperare un nome di ricerca da un evento, fai clic su Mostra altro. La si apre la visualizzazione dettagliata dell'evento.
Nella sezione Campi evidenziati, trova un nome campo Nome. Clic per vedere il nome completo del risultato. Copia il risultato completo valore nel seguente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDNella scheda Panoramica avvisi dell'avviso selezionato, fai clic su Azione manuale.
Nel campo Ricerca dell'azione manuale, inserisci
Update Finding.Nei risultati di ricerca sotto l'integrazione di GoogleSecurityCommandCenter, Seleziona l'azione Aggiorna risultato. Si apre la finestra di dialogo delle azioni.
Per impostazione predefinita, il parametro Esegui sugli avvisi è impostato sull'avviso selezionato valore.
Per configurare il parametro Finding Name (Nome risultato), incolla il valore Name (Nome) che hai copiato dalla visualizzazione dettagliata dell'evento.
Per disattivare un risultato, imposta il parametro Stato disattivazione su Disattiva.
Fai clic su Execute (Esegui).
Passaggi successivi
Scopri come disattivare i risultati in Security Command Center.
Scopri di più sulle richieste nella documentazione di Google SecOps.