SCC Enterprise - Urgent Posture Findings Connector は、すべての検出結果をケースに取り込みますが、特定の検出結果でプロジェクトとは無関係と思われる場合や、予想される動作を示す場合があります。この場合、ごく一部の検出結果のフローでセキュリティ アナリストのワークロードが過度に複雑化し、アナリストが重要な脆弱性に効果的に対処できなくなる可能性があります。Security Command Center Enterprise では、既存の無関係な検出結果について常に通知を受けるのではなく、ミュートできます。
ケースの検出結果をミュートすると、その検出結果がケースに表示されなくなります。検出結果をまとめてミュートするには、ケースに対して手動アクションを実行します。また、特定のアラートに対して手動アクションを実行して、個々の検出結果をミュートすることもできます。
複数の検出結果をミュートする
ケース内のすべての検出結果をミュートすると、Security Command Center はケースを自動的に閉じます。
1 つのケースで複数の検出結果をミュートするには、次の手順を実行します。
- Google Cloud コンソールで、[リスク>ケース] を開きます。
- ミュートする検出結果を含むケースを選択します。
- [ケースの概要] タブで [手動での対応] をクリックします。
- [手動での対応] の [検索] フィールドに「
Update Finding」と入力します。 GoogleSecurityCommandCenter 統合の検索結果で、[検出の更新] アクションを選択します。アクション ダイアログ ウィンドウが開きます。
デフォルトでは、[アラートに対して実行] パラメータは [すべてのアラート] の値に設定されています。
省略可: [アラートに対して実行] パラメータのデフォルト設定を変更するには、プルダウン リストから関連する検出結果のタイプを選択します。
[検出結果の名前] パラメータを構成するには、プレースホルダ「
[Alert.TicketID]」を入力します。このプレースホルダは、選択したアラートに対応する検出結果の名前を動的に取得します。
検出結果をミュートするには、[ミュートのステータス] パラメータを [ミュート] に設定します。
[実行] をクリックします。
個別の検出結果をミュートする
個々の検出結果をミュートするには、ケースで特定のアラートに対して「検出結果の更新」アクションを実行する必要があります。この操作は、ケース内の他のアラートには影響しません。
検出結果を個別にミュートするには、次の手順を実行します。
- Google Cloud コンソールで、[リスク] > [ケース] に移動して、Security Operations コンソールの [ケースリスト] ページを開きます。
- ミュートする検出結果を含むケースを選択します。
- ケースでミュートする検出結果を含むアラートを選択します。
- アラートで [イベント] タブに移動します。
- イベントから検出結果の名前を取得するには、[詳細] をクリックします。イベントの詳細ビューが開きます。
- [ハイライト表示されたフィールド] セクションで [名前] フィールド名を探します。その値をクリックすると、完全な検出結果名が表示されます。
次の形式で完全な検出結果名の値をコピーします。
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID選択したアラートの [アラートの概要] タブで、[手動での対応] をクリックします。
[手動での対応] の [検索] フィールドに「
Update Finding」と入力します。GoogleSecurityCommandCenter 統合の検索結果で、[検出の更新] アクションを選択します。アクション ダイアログ ウィンドウが開きます。
デフォルトでは、[アラートに対して実行] パラメータは選択したアラート値に設定されています。
[検出結果の名前] パラメータを構成するには、イベントの詳細ビューからコピーした [名前] の値を貼り付けます。
検出結果をミュートするには、[ミュートのステータス] パラメータを [ミュート] に設定します。
[実行] をクリックします。
次のステップ
Google SecOps ドキュメントでケースの詳細を確認する。