Este documento descreve como o silenciamento de descobertas usando os recursos do console de operações de segurança pode ajudar a reduzir o número de descobertas ingeridas no Security Command Center Enterprise.
Visão geral
A desativação de descobertas para casos no console de operações de segurança impede que elas apareçam nos casos. É possível desativar as descobertas em massa executando uma ação manual em um caso ou desativar uma descoberta individual executando uma ação manual no alerta específico.
O SCC Enterprise - Urgent Posture Findings Connector ingere todas as descobertas em casos, mas você pode notar descobertas específicas que parecem irrelevantes para seu projeto ou indicam um comportamento esperado. Nesse caso, o fluxo de resultados negligenciáveis pode complicar demais a carga de trabalho do analista de segurança e impedir que ele responda de maneira eficaz a vulnerabilidades importantes. Em vez de receber notificações constantes sobre as descobertas irrelevantes no Security Command Center Enterprise, você pode desativar essas notificações.
Silenciar várias descobertas
Se você silenciar todas as descobertas de um caso, o Security Command Center vai fechar o caso automaticamente.
Para desativar várias descobertas em um caso, siga estas etapas:
- No console de operações de segurança, acesse Casos.
- Selecione um caso que contém as descobertas que você quer silenciar.
- Na guia Visão geral do caso, clique em Ação manual.
- No campo Pesquisar da ação manual, insira
Update Finding. Nos resultados da pesquisa, na integração GoogleSecurityCommandCenter, selecione a ação Update Finding. A janela de diálogo de ação é aberta.
Por padrão, o parâmetro Run on Alerts é definido como o valor All Alerts.
Opcional: para mudar as configurações padrão do parâmetro Run on Alerts, selecione os tipos de descoberta relevantes na lista suspensa.
Para configurar o parâmetro Finding Name, insira o seguinte marcador de posição:
[Alert.TicketID]O marcador de posição recupera dinamicamente os nomes de descobertas que correspondem aos alertas selecionados.
Para desativar o som das descobertas, defina o parâmetro Status de desativação do som como Desativado.
Clique em Executar.
Desativar o som de uma descoberta específica
Para desativar o som de uma descoberta individual, execute a ação Atualizar descoberta em um alerta específico. A ação não afeta outros alertas no caso.
Para desativar uma descoberta individual, siga estas etapas:
- No console de operações de segurança, acesse Casos.
- Selecione um caso que contém as descobertas que você quer silenciar.
- Em um caso, selecione o alerta que contém uma descoberta para desativar o som.
- Em um alerta, acesse a guia Eventos.
- Para recuperar um nome de descoberta de um evento, clique em Ver mais. A visualização detalhada do evento é aberta.
Na seção Campos em destaque, encontre um campo Nome. Clique no valor para conferir o nome completo da descoberta. Copie o valor completo do nome da descoberta neste formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDNa guia Visão geral do alerta do alerta selecionado, clique em Ação manual.
No campo Pesquisar da ação manual, insira
Update Finding.Nos resultados da pesquisa, na integração GoogleSecurityCommandCenter, selecione a ação Update Finding. A janela de diálogo de ação é aberta.
Por padrão, o parâmetro Run on Alerts é definido como o valor de alerta selecionado.
Para configurar o parâmetro Nome da descoberta, cole o valor Nome que você copiou da visualização detalhada do evento.
Para desativar o som de uma descoberta, defina o parâmetro Status de desativação como Desativado.
Clique em Executar.
A seguir
Saiba como desativar as descobertas no Security Command Center.
Saiba mais sobre os casos na documentação do Google SecOps.