Dokumen ini menjelaskan bagaimana menonaktifkan temuan menggunakan kapabilitas konsol Security Operations dapat membantu mengurangi jumlah temuan yang diserap di Security Command Center Enterprise.
Kasus, pemberitahuan, dan SCC Enterprise - Urgent Posture Findings Connector merupakan fungsi yang didukung oleh Chronicle Security Operations.
Ringkasan
Menonaktifkan temuan untuk kasus di konsol Security Operations akan mencegahnya muncul dalam kasus. Anda dapat menonaktifkan temuan secara massal dengan menjalankan tindakan manual pada suatu kasus atau menonaktifkan masing-masing temuan dengan menjalankan tindakan manual pada pemberitahuan tertentu.
SCC Enterprise - Urgent Posture Findings Connector menyerap semua temuan ke dalam kasus, tetapi Anda mungkin melihat temuan tertentu yang tampak tidak relevan dengan project atau menunjukkan perilaku yang diharapkan. Dalam hal ini, alur temuan yang dapat diabaikan mungkin terlalu mempersulit beban kerja analis keamanan dan mencegah analis merespons kerentanan penting secara efektif. Daripada terus-menerus menerima notifikasi tentang temuan tidak relevan yang sudah ada di Security Command Center Enterprise, Anda dapat membisukannya.
Menonaktifkan beberapa temuan
Untuk menonaktifkan beberapa temuan dalam suatu kasus, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Cases.
- Pilih kasus yang berisi temuan yang dinonaktifkan.
- Di tab Ringkasan Kasus, klik Tindakan Manual.
- Di kolom Penelusuran tindakan manual, masukkan
Update Finding
. Di hasil penelusuran pada integrasi GoogleSecurityCommandCenter, pilih tindakan Update Finding. Jendela dialog tindakan akan terbuka.
Secara default, parameter Run on Alerts disetel ke nilai All Alerts.
Opsional: Untuk mengubah setelan default parameter Run on Alerts, pilih jenis temuan yang relevan dari menu drop-down.
Untuk mengonfigurasi parameter Finding Name, masukkan placeholder berikut:
[Alert.TicketID]
Placeholder secara dinamis mengambil nama temuan yang sesuai dengan pemberitahuan yang dipilih.
Untuk menonaktifkan temuan, setel parameter Status Bisukan ke Bisukan.
Klik Jalankan.
Membisukan temuan satu per satu
Untuk menonaktifkan temuan individu, Anda harus menjalankan tindakan Update Finding pada pemberitahuan tertentu dalam kasus tersebut. Tindakan ini tidak memengaruhi pemberitahuan lain dalam kasus tersebut.
Untuk menonaktifkan masing-masing temuan, selesaikan langkah-langkah berikut:
- Di konsol Security Operations, buka Cases.
- Pilih kasus yang berisi temuan yang dinonaktifkan.
- Dalam kasus tertentu, pilih notifikasi yang berisi temuan untuk dinonaktifkan.
- Di sebuah pemberitahuan, buka tab Peristiwa.
- Untuk mengambil Finding Name dari peristiwa, klik View More. Tampilan detail acara akan terbuka.
Di bagian Kolom yang Disorot, cari nama kolom Nama. Klik nilainya untuk melihat nama temuan lengkap. Salin nilai nama temuan lengkap dalam format berikut:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
Di tab Alert Overview pada pemberitahuan yang dipilih, klik Manual Action.
Di kolom Search, masukkan
Update Finding
.Di hasil penelusuran pada integrasi GoogleSecurityCommandCenter, pilih tindakan Update Finding. Jendela dialog tindakan akan terbuka.
Secara default, parameter Run on Alerts disetel ke nilai pemberitahuan yang dipilih.
Untuk mengonfigurasi parameter Finding Name, tempel nilai Name yang telah Anda salin dari tampilan detail peristiwa.
Untuk menonaktifkan temuan, setel parameter Nonaktifkan Status ke Bisukan.
Klik Jalankan.
Apa langkah selanjutnya?
Pelajari cara menonaktifkan temuan di Security Command Center.
Pelajari kasus lebih lanjut di dokumentasi Chronicle.