O SCC Enterprise - Urgent Posture Findings Connector carrega todas as conclusões em registos, mas pode reparar em conclusões específicas que parecem irrelevantes para o seu projeto ou indicam um comportamento esperado. Neste caso, o fluxo de resultados insignificantes pode complicar excessivamente a carga de trabalho do analista de segurança e impedir que os analistas respondam eficazmente a vulnerabilidades importantes. Em vez de receber constantemente notificações sobre as conclusões irrelevantes existentes no Security Command Center Enterprise, pode desativá-las.
Quando desativa os resultados de casos, impede que estes apareçam nos casos. Pode ignorar conclusões em massa executando uma ação manual num registo ou ignorar uma conclusão individual executando uma ação manual no alerta específico.
Desative o som de vários resultados
Se desativar o som de todas as descobertas num caso, o Security Command Center fecha automaticamente o caso.
Para desativar o som de várias descobertas num registo, conclua os seguintes passos:
- Na Google Cloud consola, abra Risco > Registos.
- Selecione um registo que contenha as conclusões a ignorar.
- No separador Vista geral do registo, clique em Ação manual.
- No campo Pesquisar de ação manual, introduza
Update Finding. Nos resultados da pesquisa, na integração GoogleSecurityCommandCenter, selecione a ação Atualizar registo. É aberta a janela de diálogo de ações.
Por predefinição, o parâmetro Run on Alerts está definido com o valor All Alerts.
Opcional: para alterar as predefinições do parâmetro Run on Alerts, selecione os tipos de resultados relevantes na lista pendente.
Para configurar o parâmetro Finding Name, introduza o seguinte marcador de posição:
[Alert.TicketID]O marcador de posição obtém dinamicamente os nomes das conclusões que correspondem aos alertas selecionados.
Para desativar o som dos resultados, defina o parâmetro Mute Status como Mute.
Clique em Executar.
Desative o som de uma descoberta individual
A desativação do som de uma descoberta individual requer que execute a ação Update Finding num alerta específico no registo. A ação não afeta outros alertas no registo.
Para desativar o som de uma descoberta individual, conclua os seguintes passos:
- Na Google Cloud consola, aceda a Risco > Casos para abrir a página Lista de casos da consola de operações de segurança.
- Selecione um registo que contenha as conclusões a ignorar.
- Num registo, selecione o alerta que contém uma descoberta para desativar o som.
- Num alerta, aceda ao separador Eventos.
- Para obter um Nome da descoberta de um evento, clique em Ver mais. É aberta a vista detalhada do evento.
- Na secção Campos realçados, encontre um nome de campo Nome. Clique no valor para ver o nome completo da descoberta.
Copie o valor do nome da descoberta completo no seguinte formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDNo separador Vista geral do alerta do alerta selecionado, clique em Ação manual.
No campo de pesquisa de ações manuais, introduza
Update Finding.Nos resultados da pesquisa, na integração GoogleSecurityCommandCenter, selecione a ação Atualizar registo. É aberta a janela de diálogo de ações.
Por predefinição, o parâmetro Run on Alerts está definido para o valor de alerta selecionado.
Para configurar o parâmetro Finding Name, cole o valor Name que copiou da vista detalhada do evento.
Para desativar o som de uma descoberta, defina o parâmetro Mute Status como Mute.
Clique em Executar.
O que se segue?
Saiba como pode desativar o som das conclusões no Security Command Center.
Saiba mais sobre os casos na documentação do Google SecOps.