Silencia los resultados en los casos

En este documento, se describe cómo silenciar los resultados con las funciones de la consola de operaciones de seguridad puede ayudar a reducir la cantidad de resultados transferidos en Security Command Center Enterprise.

Los casos, las alertas y el conector de SCC Enterprise: hallazgos de postura urgente son una funcionalidad potenciada por Google Security Operations.

Descripción general

Silenciar los resultados de los casos en la consola de operaciones de seguridad evita que aparezcan en ellos. Puedes silenciar los resultados de forma masiva si ejecutas una acción manual en un caso o silenciar un resultado individual si ejecutas una acción manual en la alerta específica.

El conector de SCC Enterprise - Urgent Posture Findings transfiere todos los hallazgos a los casos, pero es posible que notes resultados específicos que parezcan irrelevantes para tu proyecto o que indiquen un comportamiento esperado. En este caso, el flujo de resultados insignificantes podría complicar la carga de trabajo de los analistas de seguridad y evitar que estos respondan de manera eficaz a las vulnerabilidades importantes. En lugar de recibir notificaciones constantes sobre los resultados irrelevantes existentes en Security Command Center Enterprise, puedes silenciarlos.

Silenciar varios resultados

Si silencias todos los resultados de un caso, Security Command Center lo cierra de forma automática.

Para silenciar varios resultados de un caso, completa los siguientes pasos:

  1. En la consola de Operaciones de seguridad, ve a Casos.
  2. Selecciona un caso que contenga los hallazgos que quieras silenciar.
  3. En la pestaña Case Overview, haz clic en Manual Action.
  4. En el campo Buscar de la acción manual, ingresa Update Finding.

  5. En los resultados de la búsqueda en la integración de GoogleSecurityCommandCenter, selecciona la acción Update Finding. Se abrirá la ventana de diálogo de acción.

    De forma predeterminada, el parámetro Ejecutar en alertas se establece en el valor Todas las alertas.

  6. Opcional: Para cambiar la configuración predeterminada del parámetro Ejecutar en alertas, selecciona los tipos de resultados relevantes en la lista desplegable.

  7. Para configurar el parámetro Finding Name, ingresa el siguiente marcador de posición: [Alert.TicketID]

    El marcador de posición recupera de forma dinámica los nombres de los hallazgos que corresponden a las alertas seleccionadas.

  8. Para silenciar los resultados, establece el parámetro Estado de silencio en Silenciar.

  9. Haz clic en Ejecutar.

Silenciar un hallazgo individual

Para silenciar un resultado individual, debes ejecutar la acción Actualizar resultado en una alerta específica del caso. La acción no afecta a otras alertas del caso.

Para silenciar un hallazgo individual, completa los siguientes pasos:

  1. En la consola de Operaciones de seguridad, ve a Casos.
  2. Selecciona un caso que contenga los hallazgos que quieras silenciar.
  3. En un caso, selecciona la alerta que contenga un resultado para silenciar.
  4. En una alerta, ve a la pestaña Eventos.
  5. Para recuperar el nombre del hallazgo de un evento, haz clic en Ver más. Se abrirá la vista detallada del evento.

  6. En la sección Campos destacados, busca el nombre del campo Nombre. Haz clic en su valor para ver el nombre completo del hallazgo. Copia el valor completo del nombre del hallazgo en el siguiente formato:

    organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID

  7. En la pestaña Descripción general de la alerta de la alerta seleccionada, haz clic en Acción manual.

  8. En el campo Buscar de la acción manual, ingresa Update Finding.

  9. En los resultados de la búsqueda en la integración de GoogleSecurityCommandCenter, selecciona la acción Update Finding. Se abrirá la ventana de diálogo de acción.

    De forma predeterminada, el parámetro Ejecutar en alertas se establece en el valor de alerta seleccionado.

  10. Para configurar el parámetro Finding Name, pega el valor de Name que copiaste de la vista detallada del evento.

  11. Para silenciar un resultado, establece el parámetro Estado de silencio en Silenciar.

  12. Haz clic en Ejecutar.

Próximos pasos