Questo documento descrive come la disattivazione dei risultati utilizzando le funzionalità della console operativa di sicurezza può aiutare a ridurre il numero di risultati importati in Security Command Center Enterprise.
I casi, gli avvisi e il connettore SCC Enterprise - Urgent Posture Findings sono una funzionalità basata su Google Security Operations.
Panoramica
La disattivazione dei risultati per le richieste nella console operativa di sicurezza ne impedisce la visualizzazione. Puoi disattivare collettivamente i risultati eseguendo un'azione manuale su una richiesta o disattivare un singolo risultato eseguendo un'azione manuale sull'avviso specifico.
Il connettore SCC Enterprise - Urgent Posture Findings importa tutti i risultati nei casi, ma potresti notare risultati specifici che sembrano irrilevanti per il tuo progetto o indicano un comportamento previsto. In questo caso, il flusso di risultati trascurabili potrebbe complicare troppo il carico di lavoro degli analisti della sicurezza e impedire loro di rispondere in modo efficace a vulnerabilità importanti. Anziché ricevere notifiche costanti sui risultati irrilevanti esistenti in Security Command Center Enterprise, puoi disattivarli.
Disattiva più risultati
Per disattivare più risultati in una richiesta, completa i seguenti passaggi:
- Nella console operativa di sicurezza, vai a Richieste.
- Seleziona una richiesta contenente i risultati da disattivare.
- Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
- Nel campo dell'azione manuale Cerca, inserisci
Update Finding. Nei risultati di ricerca nell'integrazione di GoogleSecurityCommandCenter, seleziona l'azione Aggiorna risultato. Si apre la finestra di dialogo delle azioni.
Per impostazione predefinita, il parametro Esegui su avvisi è impostato sul valore Tutti gli avvisi.
(Facoltativo) Per modificare le impostazioni predefinite del parametro Esegui su avvisi, seleziona i tipi di risultati pertinenti dall'elenco a discesa.
Per configurare il parametro Ricerca nome, inserisci il seguente segnaposto:
[Alert.TicketID]Il segnaposto recupera in modo dinamico i nomi dei risultati che corrispondono agli avvisi selezionati.
Per disattivare i risultati, imposta il parametro Stato disattivazione su Disattiva.
Fai clic su Execute (Esegui).
Disattivare un singolo risultato
La disattivazione di un singolo risultato richiede l'esecuzione dell'azione Aggiorna risultato su un avviso specifico nella richiesta. L'azione non influisce sugli altri avvisi del caso.
Per disattivare un singolo risultato:
- Nella console operativa di sicurezza, vai a Richieste.
- Seleziona una richiesta contenente i risultati da disattivare.
- In un caso, seleziona l'avviso contenente un risultato da disattivare.
- In un avviso, vai alla scheda Eventi.
- Per recuperare un Nome ricercato da un evento, fai clic su Mostra altro. Si apre la visualizzazione dettagliata dell'evento.
Nella sezione Campi evidenziati, trova il nome del campo Nome. Fai clic sul valore per visualizzare il nome completo del risultato. Copia il valore completo del nome del risultato nel seguente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDNella scheda Panoramica avvisi dell'avviso selezionato, fai clic su Azione manuale.
Nel campo dell'azione manuale Cerca, inserisci
Update Finding.Nei risultati di ricerca nell'integrazione di GoogleSecurityCommandCenter, seleziona l'azione Aggiorna risultato. Si apre la finestra di dialogo delle azioni.
Per impostazione predefinita, il parametro Esegui su avvisi è impostato sul valore di avviso selezionato.
Per configurare il parametro Ricerca nome, incolla il valore Nome che hai copiato dalla visualizzazione dettagliata dell'evento.
Per disattivare un risultato, imposta il parametro Disattiva stato su Disattiva.
Fai clic su Execute (Esegui).
Che cosa succede dopo?
Scopri come disattivare i risultati in Security Command Center.
Scopri di più sui casi nella documentazione di Google SecOps.