Ce document décrit comment ignorer des résultats à l'aide de la méthode Les fonctionnalités de la console Opérations de sécurité permettent de réduire le nombre ingérés dans Security Command Center Enterprise.
Cas, alertes et SCC Enterprise - Urgent Posture Findings Connector sont une fonctionnalité de Google Security Operations.
Présentation
Ignorer les résultats des demandes dans la console Opérations de sécurité empêche d'apparaître dans les cas. Vous pouvez ignorer des résultats de manière groupée en exécutant sur une demande ou pour ignorer un résultat spécifique en exécutant une action manuelle une alerte spécifique.
Le connecteur SCC Enterprise - Urgent Posture Findings ingère tous les résultats. en cas, mais vous remarquerez peut-être des conclusions spécifiques qui ne semblent pas projet ou indiquer un comportement attendu. Dans ce cas, le flux de données négligeables peuvent compliquer la charge de travail des analystes de sécurité et empêcher les analystes de répondre efficacement aux vulnérabilités importantes. Au lieu d'être est constamment informé des résultats non pertinents qui existent dans Security Command Center. Enterprise, vous pouvez les désactiver.
Ignorer plusieurs résultats
Si vous ignorez tous les résultats d'une demande, Security Command Center ferme automatiquement le .
Pour ignorer plusieurs résultats dans une demande, procédez comme suit:
- Dans la console Opérations de sécurité, accédez à Demandes.
- Sélectionnez une demande contenant les résultats à ignorer.
- Dans l'onglet Présentation de la demande, cliquez sur Action manuelle.
- Dans le champ Rechercher de l'action manuelle, saisissez
Update Finding. Dans les résultats de recherche, sous l'intégration de GoogleSecurityCommandCenter, sélectionnez l'action Update Finding (Mettre à jour les résultats). La boîte de dialogue d'action s'ouvre.
Par défaut, le paramètre Exécuter sur les alertes est défini sur Toutes les alertes .
Facultatif: Pour modifier les paramètres par défaut du paramètre Exécuter sur les alertes, sélectionnez les types de résultats pertinents dans la liste déroulante.
Pour configurer le paramètre Finding Name (Nom du résultat), saisissez l'espace réservé suivant:
[Alert.TicketID]L'espace réservé récupère de manière dynamique les noms des résultats qui correspondent à les alertes sélectionnées.
Pour ignorer des résultats, définissez le paramètre État du son sur Ignorer.
Cliquez sur Exécuter.
Ignorer un résultat individuel
Pour ignorer un résultat individuel, vous devez exécuter l'action Mettre à jour le résultat sur une alerte spécifique dans le cas. Cette action n'a aucune incidence sur les autres alertes dans l'affaire.
Pour ignorer un résultat individuel, procédez comme suit:
- Dans la console Opérations de sécurité, accédez à Demandes.
- Sélectionnez une demande contenant les résultats à ignorer.
- Dans un cas, sélectionnez l'alerte contenant un résultat à ignorer.
- Dans une alerte, accédez à l'onglet Événements.
- Pour récupérer un nom du résultat d'un événement, cliquez sur Afficher plus. La une vue détaillée de l'événement s'ouvre.
Dans la section Champs mis en surbrillance, recherchez un nom de champ Nom. Cliquez sur sa valeur pour afficher le nom complet du résultat. Copier le résultat complet nom au format suivant:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDDans l'onglet Aperçu de l'alerte de l'alerte sélectionnée, cliquez sur Action manuelle :
Dans le champ Rechercher de l'action manuelle, saisissez
Update Finding.Dans les résultats de recherche, sous l'intégration de GoogleSecurityCommandCenter, sélectionnez l'action Update Finding (Mettre à jour les résultats). La boîte de dialogue d'action s'ouvre.
Par défaut, le paramètre Exécuter sur les alertes est défini sur l'alerte sélectionnée .
Pour configurer le paramètre Nom du résultat, collez la valeur Nom qui que vous avez copiés à partir de la vue détaillée d'un événement.
Pour ignorer un résultat, définissez le paramètre État du son sur Coupure du son.
Cliquez sur Exécuter.
Étape suivante
Découvrez comment ignorer des résultats dans Security Command Center.
En savoir plus sur les demandes dans la documentation Google SecOps.