Il connettore SCC Enterprise - Urgent Posture Findings inserisce tutti i risultati nei casi, ma potresti notare risultati specifici che sembrano irrilevanti per il tuo progetto o che indicano un comportamento previsto. In questo caso, il flusso di risultati trascurabili potrebbe complicare eccessivamente il carico di lavoro dell'analista della sicurezza e impedire agli analisti di rispondere in modo efficace alle vulnerabilità importanti. Anziché ricevere notifiche costanti sui risultati esistenti irrilevanti in Security Command Center Enterprise, puoi disattivarle.
Quando disattivi le risultanze per i casi, impedisci che vengano visualizzate nei casi. Puoi disattivare le risultanze in blocco eseguendo un'azione manuale su un caso o disattivare una singola risultanza eseguendo un'azione manuale sull'avviso specifico.
Disattivare più risultati
Se disattivi tutti i risultati in un caso, Security Command Center chiude automaticamente il caso.
Per disattivare più risultati in un caso:
- Nella console Google Cloud , apri Rischio > Richieste.
- Seleziona una richiesta contenente i risultati da disattivare.
- Nella scheda Panoramica della richiesta, fai clic su Azione manuale.
- Nel campo dell'azione manuale Cerca, inserisci
Update Finding. Nei risultati di ricerca, nell'integrazione GoogleSecurityCommandCenter, seleziona l'azione Aggiorna risultato. Si apre la finestra di dialogo dell'azione.
Per impostazione predefinita, il parametro Esegui su avvisi è impostato sul valore Tutti gli avvisi.
(Facoltativo) Per modificare le impostazioni predefinite del parametro Esegui su avvisi, seleziona i tipi di risultati pertinenti dall'elenco a discesa.
Per configurare il parametro Nome risultato, inserisci il seguente segnaposto:
[Alert.TicketID]Il segnaposto recupera dinamicamente i nomi dei risultati che corrispondono agli avvisi selezionati.
Per disattivare l'audio dei risultati, imposta il parametro Stato disattivazione su Disattiva.
Fai clic su Esegui.
Disattivare un singolo risultato
Per disattivare una singola scoperta, devi eseguire l'azione Aggiorna scoperta su un avviso specifico nel caso. L'azione non influisce sugli altri avvisi nel caso.
Per disattivare una singola scoperta, completa i seguenti passaggi:
- Nella console Google Cloud , vai a Rischio > Richieste per aprire la pagina Elenco richieste della console Security Operations.
- Seleziona una richiesta contenente i risultati da disattivare.
- In una richiesta, seleziona l'avviso contenente un risultato da disattivare.
- In un avviso, vai alla scheda Eventi.
- Per recuperare un Nome risultato da un evento, fai clic su Visualizza altro. Si apre la visualizzazione dettagliata dell'evento.
Nella sezione Campi evidenziati, trova un nome di campo Nome. Fai clic sul valore per visualizzare il nome completo del risultato. Copia il valore del nome completo del risultato nel seguente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDNella scheda Panoramica avviso dell'avviso selezionato, fai clic su Azione manuale.
Nel campo dell'azione manuale Cerca, inserisci
Update Finding.Nei risultati di ricerca, nell'integrazione GoogleSecurityCommandCenter, seleziona l'azione Aggiorna risultato. Si apre la finestra di dialogo dell'azione.
Per impostazione predefinita, il parametro Esegui sugli avvisi è impostato sul valore dell'avviso selezionato.
Per configurare il parametro Nome ricerca, incolla il valore Nome che hai copiato dalla visualizzazione dettagliata dell'evento.
Per disattivare una scoperta, imposta il parametro Stato disattivazione su Disattiva.
Fai clic su Esegui.
Passaggi successivi
Scopri come disattivare i risultati in Security Command Center.
Scopri di più sui casi nella documentazione di Google SecOps.