本文档介绍了如何使用安全运营控制台功能忽略发现结果,以减少 Security Command Center Enterprise 中提取的发现结果数量。
概览
在安全运营控制台中为支持请求静音发现结果可防止这些发现结果显示在支持请求中。您可以通过对支持请求执行人工操作来批量忽略发现结果,也可以通过对特定提醒执行人工操作来忽略个别发现结果。
SCC Enterprise - Urgent Posture Findings 连接器会将所有发现提取到支持请求中,但您可能会注意到某些发现似乎与您的项目无关,或者表明出现了预期行为。在这种情况下,大量无关发现可能会使安全分析师的工作量过于繁重,并妨碍分析师有效响应重要漏洞。您可以忽略 Security Command Center Enterprise 中现有的无关发现结果,而不必不断收到相关通知。
忽略多个发现结果
如果您忽略支持请求中的所有发现结果,Security Command Center 会自动关闭该支持请求。
如需忽略支持请求中的多个发现结果,请完成以下步骤:
- 在安全运营控制台中,前往支持请求。
- 选择包含要忽略的发现结果的支持请求。
- 在支持请求概览标签页中,点击手动操作。
- 在手动操作的搜索字段中,输入
Update Finding。 在 GoogleSecurityCommandCenter 集成下的搜索结果中,选择更新发现结果操作。系统随即会打开操作对话框窗口。
默认情况下,“在有提醒时运行”参数设置为“所有提醒”值。
可选:如需更改在有提醒时运行参数的默认设置,请从下拉列表中选择相关的发现类型。
如需配置查找名称参数,请输入以下占位符:
[Alert.TicketID]占位符会动态检索与所选提醒对应的发现结果名称。
如需忽略发现的结果,请将静音状态参数设置为静音。
点击执行。
忽略个别发现结果
如需忽略个别发现结果,您需要对支持请求中的特定提醒运行更新发现结果操作。此操作不会影响支持请求中的其他提醒。
如需忽略单个发现结果,请完成以下步骤:
- 在安全运营控制台中,前往支持请求。
- 选择包含要忽略的发现结果的支持请求。
- 在某个支持请求中,选择包含要忽略的发现结果的提醒。
- 在提醒中,前往事件标签页。
- 如需从事件中检索发现结果名称,请点击查看更多。系统会打开相应事件的详细视图。
在突出显示的字段部分下,找到 Name 字段名称。点击其值可查看完整的发现结果名称。复制完整的发现名称值,格式如下:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID在所选提醒的提醒概览标签页中,点击手动操作。
在手动操作 Search(搜索)字段中,输入
Update Finding。在 GoogleSecurityCommandCenter 集成下的搜索结果中,选择更新发现结果操作。系统随即会打开操作对话框窗口。
默认情况下,Run on Alerts 参数设置为所选提醒值。
若要配置发现名称参数,请粘贴您从事件详细视图中复制的名称值。
如需忽略某项发现结果,请将忽略状态参数设置为忽略。
点击执行。
后续步骤
如需详细了解支持请求,请参阅 Google SecOps 文档。