Silenciar descobertas em casos

O conector de descobertas de posturas urgentes do SCC Enterprise ingere todas as descobertas em casos, mas você pode notar descobertas específicas que parecem irrelevantes para seu projeto ou indicam um comportamento esperado. Nesse caso, o fluxo de descobertas insignificantes pode complicar demais a carga de trabalho do analista de segurança e impedir que ele responda de maneira eficaz a vulnerabilidades importantes. Em vez de receber notificações constantes sobre as descobertas irrelevantes no Security Command Center Enterprise, você pode desativá-las.

Ao silenciar descobertas em casos, você impede que elas apareçam. É possível silenciar descobertas em massa executando uma ação manual em um caso ou silenciar uma descoberta individual executando uma ação manual no alerta específico.

Silenciar várias descobertas

Se você silenciar todas as descobertas em um caso, o Security Command Center vai fechar o caso automaticamente.

Para desativar várias descobertas em um caso, siga estas etapas:

1. No console do Google Cloud , abra Risco > Casos.
2. Selecione um caso que contenha as descobertas a serem silenciadas.
3. Na guia Visão geral do caso, clique em Ação manual.
4. No campo Pesquisar da ação manual, insira Update Finding.

5. Nos resultados da pesquisa em GoogleSecurityCommandCenter, selecione a ação Atualizar descoberta. A janela de diálogo de ação será aberta.

   Por padrão, o parâmetro Executar em alertas é definido como o valor Todos os alertas.

6. Opcional: para mudar as configurações padrão do parâmetro Executar em alertas, selecione os tipos de descobertas relevantes na lista suspensa.

7. Para configurar o parâmetro Nome da descoberta, insira o seguinte marcador de posição: [Alert.TicketID]

   O marcador de posição recupera dinamicamente os nomes de descobertas que correspondem aos alertas selecionados.

8. Para silenciar descobertas, defina o parâmetro Status de silenciamento como Silenciar.

9. Clique em Executar.

Desativar o som de uma descoberta específica

Para desativar o som de uma descoberta individual, execute a ação Atualizar descoberta em um alerta específico no caso. A ação não afeta outros alertas no caso.

Para desativar uma descoberta individual, siga estas etapas:

1. No console Google Cloud , acesse Risco > Casos para abrir a página Lista de casos do console de operações de segurança.
2. Selecione um caso que contenha as descobertas a serem silenciadas.
3. Em um caso, selecione o alerta que contém uma descoberta para silenciar.
4. Em um alerta, acesse a guia Eventos.
5. Para recuperar um Nome da descoberta de um evento, clique em Ver mais. A visualização detalhada do evento é aberta.
6. Na seção Campos destacados, encontre um nome de campo Nome. Clique no valor para conferir o nome completo da descoberta.

7. Copie o valor do nome completo da descoberta no seguinte formato:

   organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
   

8. Na guia Visão geral do alerta do alerta selecionado, clique em Ação manual.

9. No campo Pesquisar da ação manual, insira Update Finding.

10. Nos resultados da pesquisa em GoogleSecurityCommandCenter, selecione a ação Atualizar descoberta. A janela de diálogo de ação será aberta.

    Por padrão, o parâmetro Executar em alertas é definido como o valor do alerta selecionado.

11. Para configurar o parâmetro Nome da descoberta, cole o valor Nome que você copiou da visualização detalhada do evento.

12. Para silenciar uma descoberta, defina o parâmetro Status de desativação como Desativar.

13. Clique em Executar.

A seguir

• Saiba como desativar as descobertas no Security Command Center.

• Saiba mais sobre os casos na documentação do Google SecOps.