SCC Enterprise - Urgent Posture Findings 连接器会将所有发现结果注入到支持请求中,但您可能会发现某些发现结果与您的项目无关或表明的是预期行为。在这种情况下,大量微不足道的发现结果可能会使安全分析师的工作量过于复杂,并妨碍分析师有效应对重要漏洞。您可以忽略 Security Command Center 企业方案中现有的无关发现结果,而无需不断收到相关通知。
忽略支持请求的发现结果后,这些发现结果将不会显示在支持请求中。您可以对支持请求运行手动操作来批量忽略发现结果,也可以对特定提醒运行手动操作来忽略单个发现结果。
忽略多个发现结果
如果您忽略支持请求中的所有发现结果,Security Command Center 会自动关闭该支持请求。
如需忽略某个支持请求中的多个发现结果,请完成以下步骤:
- 在 Google Cloud 控制台中,依次前往风险 > 支持请求。
- 选择包含要忽略的发现结果的支持请求。
- 在支持请求概览标签页中,点击手动操作。
- 在手动操作的搜索字段中,输入
Update Finding。 在 GoogleSecurityCommandCenter 集成下的搜索结果中,选择更新发现结果操作。系统会打开操作对话框窗口。
默认情况下,在提醒时运行参数设置为所有提醒值。
可选:如需更改在提醒时运行参数的默认设置,请从下拉列表中选择相关发现结果类型。
如需配置发现结果名称参数,请输入以下占位符:
[Alert.TicketID]此占位符会动态检索与所选提醒对应的发现结果名称。
如需忽略发现结果,请将忽略状态参数设置为忽略。
点击执行。
忽略个别发现结果
如需忽略单个发现结果,您需要针对相应支持请求中的特定提醒运行更新发现结果操作。此操作不会影响相应支持请求中的其他提醒。
如需忽略单个发现结果,请完成以下步骤:
- 在 Google Cloud 控制台中,依次前往风险 > 支持请求,打开Security Operations控制台的支持请求列表页面。
- 选择包含要忽略的发现结果的支持请求。
- 在支持请求中,选择包含要忽略的发现结果的提醒。
- 在提醒中,前往事件标签页。
- 如需从事件中检索发现结果名称,请点击查看更多。系统会打开事件的详细视图。
- 在突出显示的字段部分下,找到一个名称字段名称。点击相应值即可查看完整的发现结果名称。
复制完整发现结果名称值,格式如下:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID在所选提醒的提醒概览标签页中,点击手动操作。
在手动操作的搜索字段中,输入
Update Finding。在 GoogleSecurityCommandCenter 集成下的搜索结果中,选择更新发现结果操作。系统会打开操作对话框窗口。
默认情况下,在提醒时运行参数设置为所选提醒值。
如需配置发现结果名称参数,请粘贴您从事件详细视图中复制的名称值。
如需忽略发现结果,请将忽略状态参数设置为忽略。
点击执行。
后续步骤
如需详细了解,请参阅 Google SecOps 文档中的支持请求。