Neste documento, descrevemos como silenciar descobertas usando os recursos do Console do Security Operations pode ajudar a reduzir o número de descobertas ingeridas no Security Command Center Enterprise.
Casos, alertas e o Conector de descobertas de postura urgente do SCC Enterprise são uma funcionalidade das operações de segurança do Google.
Visão geral
Silenciar descobertas para casos no console do Security Operations impede que elas apareçam nos casos. É possível silenciar as descobertas em massa executando uma ação manual em um caso, ou silenciar uma descoberta individual executando uma ação manual no alerta específico.
O SCC Enterprise - Conector de descobertas de postura urgente ingere todas as descobertas em casos, mas é possível notar descobertas específicas que parecem irrelevantes para seu projeto ou indicam um comportamento esperado. Nesse caso, o fluxo de descobertas insignificantes pode complicar demais a carga de trabalho do analista de segurança e impedir que ele responda efetivamente a vulnerabilidades importantes. Em vez de ser constantemente notificado sobre as descobertas irrelevantes existentes no Security Command Center Enterprise, é possível silenciá-las.
Silenciar várias descobertas
Para silenciar várias descobertas em um caso, siga estas etapas:
- No console de Operações de Segurança, acesse Casos.
- Selecione um caso que contenha as descobertas para silenciar.
- Na guia Visão geral do caso, clique em Ação manual.
- No campo Pesquisar da ação manual, insira
Update Finding. Nos resultados da pesquisa, na integração GoogleSecurityCommandCenter, selecione a ação Atualizar descoberta. A janela de diálogo de ação é aberta.
Por padrão, o parâmetro Executar em alertas é definido como o valor Todos os alertas.
Opcional: para mudar as configurações padrão do parâmetro Executar em alertas, selecione os tipos de descoberta relevantes na lista suspensa.
Para configurar o parâmetro Finding Name, insira o seguinte marcador de posição:
[Alert.TicketID]O marcador recupera dinamicamente os nomes de descoberta que correspondem aos alertas selecionados.
Para silenciar descobertas, defina o parâmetro Silenciar status como Silenciar.
Clique em Executar.
Desativar o som de uma descoberta específica
Para silenciar uma descoberta individual, é necessário executar a ação Atualizar descoberta em um alerta específico no caso. A ação não afeta outros alertas no caso.
Para silenciar uma descoberta específica, siga estas etapas:
- No console de Operações de Segurança, acesse Casos.
- Selecione um caso que contenha as descobertas para silenciar.
- Em um caso, selecione o alerta que contém uma descoberta para ser silenciada.
- Em um alerta, acesse a guia Eventos.
- Para recuperar o campo Finding Name de um evento, clique em View More. A visualização detalhada do evento é aberta.
Na seção Campos destacados, encontre um nome de campo Nome. Clique no valor para ver o nome completo da descoberta. Copie o valor completo do nome de descoberta no seguinte formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDNa guia Visão geral do alerta do alerta selecionado, clique em Ação manual.
No campo Pesquisar da ação manual, digite
Update Finding.Nos resultados da pesquisa, na integração GoogleSecurityCommandCenter, selecione a ação Atualizar descoberta. A janela de diálogo de ação é aberta.
Por padrão, o parâmetro Executar em alertas é definido como o valor de alerta selecionado.
Para configurar o parâmetro Finding Name, cole o valor de Name que você copiou da visualização detalhada do evento.
Para silenciar uma descoberta, defina o parâmetro Status do som como Silenciar.
Clique em Executar.
A seguir
Saiba como silenciar as descobertas no Security Command Center.
Saiba mais sobre os casos na documentação do Google SecOps.