Disattivazione dei risultati nelle richieste

Questo documento descrive in che modo la disattivazione dei risultati utilizzando le funzionalità di Security Operations Console può aiutare a ridurre il numero di risultati importati in Security Command Center Enterprise.

I casi, gli avvisi e il connettore SCC Enterprise - Urgent Posture Findings sono una funzionalità basata su Google Security Operations.

Panoramica

La disattivazione dei risultati per le richieste in Security Operations Console ne impedisce la visualizzazione nelle richieste. Puoi disattivare l'audio dei risultati in blocco eseguendo un'azione manuale su una richiesta o di un singolo risultato eseguendo un'azione manuale sull'avviso specifico.

Il connettore SCC Enterprise - Urgent Posture Findings importa tutti i risultati nei casi, ma potresti notare risultati specifici che sembrano irrilevanti per il tuo progetto o indicare un comportamento previsto. In questo caso, il flusso di risultati trascurabili potrebbe complicare il carico di lavoro degli analisti di sicurezza e impedire agli analisti di rispondere in modo efficace a vulnerabilità importanti. Invece di ricevere notifiche costanti sui risultati irrilevanti esistenti in Security Command Center Enterprise, puoi disattivarli.

Disattiva più risultati

Se disattivi tutti i risultati in una richiesta, Security Command Center la chiude automaticamente.

Per disattivare più risultati in una richiesta, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta contenente i risultati da disattivare.
  3. Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
  4. Nel campo Ricerca dell'azione manuale, inserisci Update Finding.

  5. Nei risultati di ricerca sotto l'integrazione di GoogleSecurityCommandCenter, seleziona l'azione Aggiorna risultato. Si apre la finestra di dialogo delle azioni.

    Per impostazione predefinita, il parametro Esegui sugli avvisi è impostato sul valore Tutti gli avvisi.

  6. (Facoltativo) Per modificare le impostazioni predefinite del parametro Esegui sugli avvisi, seleziona i tipi di risultati pertinenti dall'elenco a discesa.

  7. Per configurare il parametro Finding Name (Nome risultato), inserisci il seguente segnaposto: [Alert.TicketID]

    Il segnaposto recupera dinamicamente i nomi dei risultati che corrispondono agli avvisi selezionati.

  8. Per disattivare i risultati, imposta il parametro Stato disattivazione su Disattiva.

  9. Fai clic su Execute (Esegui).

Disattivare un singolo risultato

La disattivazione di un singolo risultato richiede l'esecuzione dell'azione Aggiorna risultato su un avviso specifico nella richiesta. L'azione non influisce sugli altri avvisi della richiesta.

Per disattivare un singolo risultato, completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Richieste.
  2. Seleziona una richiesta contenente i risultati da disattivare.
  3. In un caso, seleziona l'avviso contenente un risultato da disattivare.
  4. In un avviso, vai alla scheda Eventi.
  5. Per recuperare un nome di ricerca da un evento, fai clic su Mostra altro. Si apre la visualizzazione dettagliata dell'evento.

  6. Nella sezione Campi evidenziati, trova un nome campo Nome. Fai clic sul valore per visualizzare il nome completo del risultato. Copia il valore completo del nome del risultato nel seguente formato:

    organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID

  7. Nella scheda Panoramica avvisi dell'avviso selezionato, fai clic su Azione manuale.

  8. Nel campo Ricerca dell'azione manuale, inserisci Update Finding.

  9. Nei risultati di ricerca sotto l'integrazione di GoogleSecurityCommandCenter, seleziona l'azione Aggiorna risultato. Si apre la finestra di dialogo delle azioni.

    Per impostazione predefinita, il parametro Esegui sugli avvisi è impostato sul valore di avviso selezionato.

  10. Per configurare il parametro Finding Name, incolla il valore Name che hai copiato dalla visualizzazione dettagliata dell'evento.

  11. Per disattivare un risultato, imposta il parametro Stato disattivazione su Disattiva.

  12. Fai clic su Execute (Esegui).

Che cosa succede dopo?