El conector SCC Enterprise - Urgent Posture Findings ingiere todos los resultados en casos, pero es posible que observes resultados específicos que no sean relevantes para tu proyecto o que indiquen un comportamiento esperado. En este caso, el flujo de resultados insignificantes podría complicar demasiado la carga de trabajo de los analistas de seguridad e impedirles responder eficazmente a las vulnerabilidades importantes. En lugar de recibir notificaciones constantes sobre los resultados irrelevantes de Security Command Center Enterprise, puedes silenciarlos.
Cuando silencias las detecciones de los casos, impides que aparezcan en ellos. Puedes silenciar resultados en bloque ejecutando una acción manual en un caso o silenciar un resultado concreto ejecutando una acción manual en la alerta específica.
Silenciar varios hallazgos
Si silencias todos los resultados de un caso, Security Command Center lo cerrará automáticamente.
Para silenciar varias detecciones de un caso, sigue estos pasos:
- En la Google Cloud consola, abre Riesgo > Casos.
- Selecciona un caso que contenga los resultados que quieras silenciar.
- En la pestaña Resumen del caso, haga clic en Acción manual.
- En el campo de acción manual Buscar, introduce
Update Finding. En los resultados de búsqueda de la integración GoogleSecurityCommandCenter, selecciona la acción Update Finding (Actualizar detección). Se abrirá la ventana del cuadro de diálogo de acción.
De forma predeterminada, el parámetro Ejecutar en alertas tiene el valor Todas las alertas.
Opcional: Para cambiar los ajustes predeterminados del parámetro Ejecutar en alertas, seleccione los tipos de resultados pertinentes en la lista desplegable.
Para configurar el parámetro Finding Name (Nombre del hallazgo), introduce el siguiente marcador de posición:
[Alert.TicketID]El marcador de posición obtiene de forma dinámica los nombres de los resultados que corresponden a las alertas seleccionadas.
Para silenciar los resultados, asigna el valor Mute al parámetro Mute Status.
Haz clic en la opción para ejecutar.
Silenciar un resultado concreto
Para silenciar un resultado concreto, debes ejecutar la acción Update Finding (Actualizar resultado) en una alerta específica del caso. La acción no afecta a otras alertas del caso.
Para silenciar un resultado concreto, sigue estos pasos:
- En la Google Cloud consola, ve a Riesgo > Casos para abrir la página Lista de casos de la consola de operaciones de seguridad.
- Selecciona un caso que contenga los resultados que quieras silenciar.
- En un caso, selecciona la alerta que contenga un resultado para silenciarla.
- En una alerta, vaya a la pestaña Eventos.
- Para obtener un Nombre del hallazgo de un evento, haga clic en Ver más. Se abrirá la vista detallada del evento.
- En la sección Campos destacados, busca el nombre del campo Nombre. Haga clic en su valor para ver el nombre completo del resultado.
Copia el valor del nombre completo del hallazgo con el siguiente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDEn la pestaña Alert Overview (Resumen de la alerta) de la alerta seleccionada, haz clic en Manual Action (Acción manual).
En el campo de acción manual Buscar, introduce
Update Finding.En los resultados de búsqueda de la integración GoogleSecurityCommandCenter, selecciona la acción Update Finding (Actualizar detección). Se abrirá la ventana del cuadro de diálogo de acción.
De forma predeterminada, el parámetro Ejecutar en alertas se define en el valor de la alerta seleccionada.
Para configurar el parámetro Nombre del hallazgo, pegue el valor Nombre que ha copiado de la vista detallada del evento.
Para silenciar un resultado, asigna el valor Mute al parámetro Mute Status.
Haz clic en la opción para ejecutar.
Siguientes pasos
Consulta cómo silenciar resultados en Security Command Center.
Consulta más información sobre los casos en la documentación de Google SecOps.