Ergebnisse in Fällen ausblenden

In diesem Dokument wird beschrieben, wie das Ausblenden von Ergebnissen mithilfe der Funktionen der Security Operations Console dazu beitragen kann, die Anzahl der Ergebnisse zu reduzieren, die in Security Command Center Enterprise aufgenommen werden.

Fälle, Warnungen und der SCC Enterprise – Urgent Posture Findings Connector sind Funktionen, die von Google Security Operations unterstützt werden.

Überblick

Durch das Ausblenden von Ergebnissen für Supportanfragen in der Security Operations Console wird verhindert, dass diese in Cases angezeigt werden. Sie können Ergebnisse im Bulk ausblenden, indem Sie eine manuelle Aktion für einen Fall ausführen, oder ein einzelnes Ergebnis ausblenden, indem Sie eine manuelle Maßnahme für die jeweilige Benachrichtigung ausführen.

Der SCC Enterprise – Urgent Posture Findings Connector nimmt alle Ergebnisse in Supportanfragen auf. Möglicherweise bemerken Sie jedoch bestimmte Ergebnisse, die für Ihr Projekt irrelevant erscheinen oder auf ein erwartetes Verhalten hindeuten. In diesem Fall kann der Fluss von vernachlässigbaren Ergebnissen die Arbeitslast der Sicherheitsanalysten überschweren und Analysten daran hindern, effektiv auf wichtige Sicherheitslücken zu reagieren. Anstatt ständig über die vorhandenen irrelevanten Ergebnisse in Security Command Center Enterprise benachrichtigt zu werden, können Sie sie stummschalten.

Mehrere Ergebnisse ausblenden

Führen Sie die folgenden Schritte aus, um mehrere Ergebnisse in einem Fall auszublenden:

1. Gehen Sie in der Security Operations Console zu Fälle.
2. Wählen Sie einen Fall mit den Ergebnissen aus, die ausgeblendet werden sollen.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie im Feld Suche der manuellen Maßnahme Update Finding ein.

5. Wählen Sie in den Suchergebnissen unter der Integration von GoogleSecurityCommandCenter die Aktion Ergebnisse aktualisieren aus. Das Dialogfeld für Aktionen wird geöffnet.

   Standardmäßig ist der Parameter Run on Alerts auf den Wert Alle Benachrichtigungen festgelegt.

6. Optional: Wenn Sie die Standardeinstellungen des Parameters Run on Alerts (Bei Benachrichtigungen ausführen) ändern möchten, wählen Sie die relevanten Ergebnistypen in der Drop-down-Liste aus.

7. Geben Sie den folgenden Platzhalter ein, um den Parameter Ergebnisname zu konfigurieren: [Alert.TicketID]

   Der Platzhalter ruft dynamisch Ergebnisnamen ab, die den ausgewählten Benachrichtigungen entsprechen.

8. Setzen Sie den Parameter Stummschaltung auf Stummschalten, um Ergebnisse auszublenden.

9. Klicken Sie auf Execute.

Einzelne Ergebnisse ausblenden

Wenn Sie ein einzelnes Ergebnis ausblenden möchten, müssen Sie die Aktion Ergebnis aktualisieren für eine bestimmte Benachrichtigung im jeweiligen Fall ausführen. Die Aktion hat keine Auswirkungen auf andere Benachrichtigungen in diesem Fall.

So ignorieren Sie ein einzelnes Ergebnis:

1. Gehen Sie in der Security Operations Console zu Fälle.
2. Wählen Sie einen Fall mit den Ergebnissen aus, die ausgeblendet werden sollen.
3. Wählen Sie in einem Fall die Benachrichtigung mit dem Ergebnis aus, das ausgeblendet werden soll.
4. Rufen Sie in einer Benachrichtigung den Tab Ereignisse auf.
5. Wenn Sie einen Ergebnisnamen für ein Ereignis abrufen möchten, klicken Sie auf Mehr anzeigen. Die Detailansicht des Ereignisses wird geöffnet.

6. Suchen Sie im Bereich Hervorgehobene Felder den Feldnamen Name. Klicken Sie auf den Wert, um den vollständigen Ergebnisnamen zu sehen. Kopieren Sie den vollständigen Wert des Ergebnisnamens im folgenden Format:

   organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
   

7. Klicken Sie auf dem Tab Benachrichtigungsübersicht der ausgewählten Benachrichtigung auf Manuelle Maßnahme.

8. Geben Sie im Feld Suche der manuellen Maßnahme Update Finding ein.

9. Wählen Sie in den Suchergebnissen unter der Integration von GoogleSecurityCommandCenter die Aktion Ergebnisse aktualisieren aus. Das Dialogfeld für Aktionen wird geöffnet.

   Standardmäßig ist der Parameter Run on Alerts auf den ausgewählten Benachrichtigungswert festgelegt.

10. Zum Konfigurieren des Parameters Finding Name fügen Sie den Wert für Name ein, den Sie aus der Ereignisdetailansicht kopiert haben.

11. Wenn Sie ein Ergebnis ausblenden möchten, setzen Sie den Parameter Stummschaltung auf Stummschalten.

12. Klicken Sie auf Execute.

Nächste Schritte

• Ergebnisse in Security Command Center ausblenden

• Weitere Informationen zu den Fällen finden Sie in der Google SecOps-Dokumentation.