Ergebnisse in Fällen ausblenden

Der SCC Enterprise – Urgent Posture Findings Connector erfasst alle Ergebnisse in Anfragen. Möglicherweise stellen Sie jedoch fest, dass bestimmte Ergebnisse für Ihr Projekt irrelevant sind oder ein erwartetes Verhalten angeben. In diesem Fall kann der Fluss vernachlässigbarer Ergebnisse die Arbeitslast des Sicherheitsanalysten übermäßig komplizieren und verhindern, dass Analysten effektiv auf wichtige Sicherheitslücken reagieren. Anstatt ständig über die vorhandenen irrelevanten Ergebnisse in Security Command Center Enterprise benachrichtigt zu werden, können Sie sie ausblenden.

Wenn Sie Ergebnisse für Fälle ausblenden, werden sie nicht mehr in Fällen angezeigt. Sie können Ergebnisse im Bulk-Verfahren ausblenden, indem Sie eine manuelle Maßnahme für einen Fall ausführen, oder ein einzelnes Ergebnis ausblenden, indem Sie eine manuelle Maßnahme für die entsprechende Benachrichtigung ausführen.

Mehrere Ergebnisse ausblenden

Wenn Sie alle Ergebnisse in einem Fall ausblenden, wird der Fall in Security Command Center automatisch geschlossen.

So blenden Sie mehrere Ergebnisse in einem Fall aus:

1. Öffnen Sie in der Google Cloud -Konsole Risiko > Anfragen.
2. Wählen Sie einen Fall aus, der die auszublendenden Ergebnisse enthält.
3. Klicken Sie auf dem Tab Fallübersicht auf Manuelle Aktion.
4. Geben Sie im Feld für die manuelle Aktion Suchen Update Finding ein.

5. Wählen Sie in den Suchergebnissen unter der Integration GoogleSecurityCommandCenter die Aktion Update Finding (Ergebnis aktualisieren) aus. Das Aktionsdialogfeld wird geöffnet.

   Der Parameter Run on Alerts ist standardmäßig auf den Wert All Alerts festgelegt.

   Der Wert Alle Benachrichtigungen bedeutet, dass mit der Aktion der Wert Name des Ergebnisses aus jeder Benachrichtigung in einem Fall abgerufen und alle Ergebnis-IDs in einem Aktionslauf extrahiert werden.

6. Optional: Wenn Sie die Standardeinstellungen für den Parameter Bei Benachrichtigungen ausführen ändern möchten, wählen Sie die entsprechenden Finding-Typen aus der Drop-down-Liste aus.

7. Geben Sie den folgenden Platzhalter ein, um den Parameter Finding Name zu konfigurieren: [Alert.TicketID]

   Mit dem Platzhalter werden dynamisch Namen von Ergebnissen abgerufen, die den ausgewählten Benachrichtigungen entsprechen.

8. Wenn Sie Ergebnisse stummschalten möchten, setzen Sie den Parameter Mute Status auf Mute.

9. Klicken Sie auf Ausführen.

Einzelne Ergebnisse ausblenden

Wenn Sie einen einzelnen Befund stummschalten möchten, müssen Sie die Aktion Befund aktualisieren für eine bestimmte Benachrichtigung im Fall ausführen. Die Aktion hat keine Auswirkungen auf andere Benachrichtigungen im Fall.

So blenden Sie ein einzelnes Ergebnis aus:

1. Rufen Sie in der Google Cloud -Konsole Risiko > Anfragen auf, um die Seite Anfragenliste in der Security Operations-Konsole zu öffnen.
2. Wählen Sie einen Fall aus, der die auszublendenden Ergebnisse enthält.
3. Wählen Sie in einem Fall die Benachrichtigung mit dem Ergebnis aus, das Sie ausblenden möchten.
4. Rufen Sie in einer Benachrichtigung den Tab Ereignisse auf.
5. Wenn Sie den Namen des Ergebnisses eines Ereignisses abrufen möchten, klicken Sie auf Mehr ansehen. Die Detailansicht des Ereignisses wird geöffnet.

6. Suchen Sie im Abschnitt Hervorgehobene Felder nach einem Feldnamen Name. Klicken Sie auf den Wert, um den vollständigen Namen des Ergebnisses aufzurufen. Kopieren Sie den vollständigen Namen des Ergebnisses im folgenden Format:

   organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
   

7. Klicken Sie auf dem Tab Alert Overview (Benachrichtigungsübersicht) der ausgewählten Benachrichtigung auf Manual Action (Manuelle Aktion).

8. Geben Sie im Feld für die manuelle Aktion Suchen Update Finding ein.

9. Wählen Sie in den Suchergebnissen unter der Integration GoogleSecurityCommandCenter die Aktion Update Finding (Ergebnis aktualisieren) aus. Das Aktionsdialogfeld wird geöffnet.

   Standardmäßig ist der Parameter Run on Alerts auf den ausgewählten Benachrichtigungswert festgelegt.

10. Um den Parameter Finding Name zu konfigurieren, fügen Sie den Wert Name ein, den Sie aus der Detailansicht des Ereignisses kopiert haben.

11. Wenn Sie ein Ergebnis ausblenden möchten, setzen Sie den Parameter Ausblendungsstatus auf Ausblenden.

12. Klicken Sie auf Ausführen.

Nächste Schritte

• Ergebnisse in Security Command Center ausblenden

• Weitere Informationen zu Fällen finden Sie in der Google SecOps-Dokumentation.