Ce document explique comment la désactivation des résultats à l'aide des fonctionnalités de la console Security Operations peut aider à réduire le nombre de résultats ingérés dans Security Command Center Enterprise.
Les demandes d'assistance, les alertes et le connecteur SCC Enterprise - Urgent Posture Findings Connector sont des fonctionnalités basées sur les opérations de sécurité Google.
Présentation
Ignorer les résultats des demandes dans la console Security Operations les empêche de s'afficher. Vous pouvez ignorer des résultats de manière groupée en exécutant une action manuelle sur une demande ou ignorer un résultat individuel en exécutant une action manuelle sur l'alerte spécifique.
Le connecteur SCC Enterprise – Urgent Posture Findings Connector ingère tous les résultats dans des cas, mais vous remarquerez peut-être des résultats spécifiques qui ne semblent pas pertinents pour votre projet ou qui indiquent un comportement attendu. Dans ce cas, le flux de résultats négligeables peut trop compliquer la charge de travail de l'analyste de sécurité et l'empêcher de répondre efficacement à des failles importantes. Au lieu d'être constamment informé des résultats non pertinents existants dans Security Command Center Enterprise, vous pouvez les ignorer.
Ignorer plusieurs résultats
Pour ignorer plusieurs résultats dans une demande, procédez comme suit:
- Dans la console Opérations de sécurité, accédez à Demandes.
- Sélectionnez une demande contenant les résultats à ignorer.
- Dans l'onglet Case Overview (Présentation de la demande), cliquez sur Manual Action (Action manuelle).
- Dans le champ Rechercher de l'action manuelle, saisissez
Update Finding. Dans les résultats de recherche, sous l'intégration GoogleSecurityCommandCenter, sélectionnez l'action Update Finding (Mettre à jour le résultat). La boîte de dialogue d'action s'ouvre.
Par défaut, le paramètre Exécuter sur les alertes est défini sur la valeur Toutes les alertes.
Facultatif: Pour modifier les paramètres par défaut du paramètre Run on Alerts (Exécuter sur les alertes), sélectionnez les types de résultats pertinents dans la liste déroulante.
Pour configurer le paramètre Finding Name (Nom du résultat), saisissez l'espace réservé suivant :
[Alert.TicketID]L'espace réservé récupère de manière dynamique les noms des résultats correspondant aux alertes sélectionnées.
Pour ignorer des résultats, définissez le paramètre Ignorer l'état sur Ignorer.
Cliquez sur Exécuter.
Ignorer un résultat individuel
Pour ignorer un résultat individuel, vous devez exécuter l'action Update Finding (Mettre à jour le résultat) au niveau d'une alerte spécifique dans ce cas. Cette action n'a aucune incidence sur les autres alertes.
Pour ignorer un résultat précis, procédez comme suit:
- Dans la console Opérations de sécurité, accédez à Demandes.
- Sélectionnez une demande contenant les résultats à ignorer.
- Dans un cas, sélectionnez l'alerte contenant un résultat à ignorer.
- Dans une alerte, accédez à l'onglet Événements.
- Pour récupérer le nom du résultat d'un événement, cliquez sur Afficher plus. La vue détaillée de l'événement s'affiche.
Dans la section Champs en surbrillance, recherchez un nom de champ Nom. Cliquez sur sa valeur pour afficher le nom complet du résultat. Copiez la valeur complète du nom de résultat au format suivant:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDDans l'onglet Aperçu des alertes de l'alerte sélectionnée, cliquez sur Action manuelle.
Dans le champ Rechercher de l'action manuelle, saisissez
Update Finding.Dans les résultats de recherche, sous l'intégration GoogleSecurityCommandCenter, sélectionnez l'action Update Finding (Mettre à jour le résultat). La boîte de dialogue d'action s'ouvre.
Par défaut, le paramètre Exécuter les alertes est défini sur la valeur de l'alerte sélectionnée.
Pour configurer le paramètre Finding Name (Nom du résultat), collez la valeur Name (Nom) que vous avez copiée à partir de la vue détaillée de l'événement.
Pour ignorer un résultat, définissez le paramètre Ignorer l'état sur Ignorer.
Cliquez sur Exécuter.
Étape suivante
Découvrez comment ignorer des résultats dans Security Command Center.
Pour en savoir plus sur les cas, consultez la documentation Google SecOps.