Le connecteur SCC Enterprise – Résultats urgents sur la posture ingère tous les résultats dans des cas, mais vous pouvez remarquer des résultats spécifiques qui semblent non pertinents pour votre projet ou qui indiquent un comportement attendu. Dans ce cas, le flux de résultats négligeables peut compliquer la charge de travail des analystes de sécurité et les empêcher de répondre efficacement aux failles importantes. Au lieu d'être constamment averti des résultats non pertinents existants dans Security Command Center Enterprise, vous pouvez les désactiver.
Lorsque vous ignorez des résultats pour des cas, vous les empêchez d'apparaître dans les cas. Vous pouvez désactiver des résultats de manière groupée en exécutant une action manuelle sur un cas, ou désactiver un résultat individuel en exécutant une action manuelle sur l'alerte spécifique.
Ignorer plusieurs résultats
Si vous masquez tous les résultats d'une demande, Security Command Center la clôture automatiquement.
Pour désactiver plusieurs résultats dans une même demande, procédez comme suit :
- Dans la console Google Cloud , ouvrez Risque > Demandes.
- Sélectionnez une fiche contenant les résultats à masquer.
- Dans l'onglet Aperçu de la demande, cliquez sur Action manuelle.
- Dans le champ Rechercher de l'action manuelle, saisissez
Update Finding. Dans les résultats de recherche, sous l'intégration GoogleSecurityCommandCenter, sélectionnez l'action Update Finding (Mettre à jour le résultat). La boîte de dialogue de l'action s'ouvre.
Par défaut, le paramètre Exécuter sur les alertes est défini sur la valeur Toutes les alertes.
Facultatif : Pour modifier les paramètres par défaut du paramètre Exécuter sur les alertes, sélectionnez les types de résultats concernés dans la liste déroulante.
Pour configurer le paramètre Nom du résultat, saisissez l'espace réservé suivant :
[Alert.TicketID]L'espace réservé récupère de manière dynamique les noms des résultats correspondant aux alertes sélectionnées.
Pour ignorer les résultats, définissez le paramètre État Ignorer sur Ignorer.
Cliquez sur Exécuter.
Ignorer un résultat individuel
Pour mettre en sourdine un résultat individuel, vous devez exécuter l'action Update Finding (Mettre à jour le résultat) sur une alerte spécifique dans le dossier. Cette action n'a pas d'incidence sur les autres alertes du dossier.
Pour ignorer un résultat individuel, procédez comme suit :
- Dans la console Google Cloud , accédez à Risque > Demandes pour ouvrir la page Liste des demandes de la console Security Operations.
- Sélectionnez une fiche contenant les résultats à masquer.
- Dans un cas, sélectionnez l'alerte contenant un résultat à masquer.
- Dans une alerte, accédez à l'onglet Événements.
- Pour récupérer un nom de résultat à partir d'un événement, cliquez sur Afficher plus. La vue détaillée de l'événement s'ouvre.
- Dans la section Champs mis en surbrillance, recherchez un nom de champ Nom. Cliquez sur sa valeur pour afficher le nom complet du résultat.
Copiez la valeur du nom complet du résultat au format suivant :
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDDans l'onglet Aperçu de l'alerte de l'alerte sélectionnée, cliquez sur Action manuelle.
Dans le champ Rechercher de l'action manuelle, saisissez
Update Finding.Dans les résultats de recherche, sous l'intégration GoogleSecurityCommandCenter, sélectionnez l'action Update Finding (Mettre à jour le résultat). La boîte de dialogue de l'action s'ouvre.
Par défaut, le paramètre Exécuter sur les alertes est défini sur la valeur de l'alerte sélectionnée.
Pour configurer le paramètre Nom de la recherche, collez la valeur Nom que vous avez copiée à partir de la vue détaillée de l'événement.
Pour ignorer un résultat, définissez le paramètre État Ignorer sur Ignorer.
Cliquez sur Exécuter.
Étape suivante
Découvrez comment ignorer les résultats dans Security Command Center.
Pour en savoir plus sur les cas, consultez la documentation Google SecOps.