忽略案件中的發現項目

SCC Enterprise - Urgent Posture Findings Connector 會將所有發現事項匯入案件,但您可能會發現特定事項與專案無關,或指出預期行為。在這種情況下,微不足道的發現可能會使安全分析師的工作量過於複雜,並妨礙分析師有效應對重要安全漏洞。您可以略過 Security Command Center Enterprise 中現有的無關發現項目,不必再收到相關通知。

將案件的調查結果設為靜音後,這些結果就不會顯示在案件中。如要大量靜音調查結果,請對案件執行手動操作;如要個別靜音調查結果,請對特定快訊執行手動操作。

忽略多個發現項目

如果略過案件中的所有發現項目,Security Command Center 會自動結案。

如要將案件中的多項發現設為靜音,請完成下列步驟:

  1. 在 Google Cloud 控制台中,開啟「風險」>「案件」。
  2. 選取要忽略發現項目的案件。
  3. 在「案件總覽」分頁中,按一下「手動操作」
  4. 在手動動作的「Search」(搜尋) 欄位中,輸入 Update Finding
  5. 在「GoogleSecurityCommandCenter」整合功能下方的搜尋結果中,選取「Update Finding」動作。系統會開啟動作對話方塊視窗。

    根據預設,「Run on Alerts」(在快訊上執行) 參數會設為「All Alerts」(所有快訊) 值。

  6. 選用:如要變更「Run on Alerts」參數的預設設定,請從下拉式清單中選取相關的發現類型。

  7. 如要設定「尋找名稱」參數,請輸入下列預留位置: [Alert.TicketID]

    系統會根據所選快訊,動態擷取相應的發現項目名稱。

  8. 如要忽略發現項目,請將「忽略狀態」參數設為「忽略」

  9. 按一下 [Execute] (執行)

忽略個別發現項目

如要將個別發現事項設為靜音,您必須對案件中的特定快訊執行「更新發現事項」動作。這項操作不會影響案件中的其他快訊。

如要將個別發現項目設為靜音,請完成下列步驟:

  1. 在 Google Cloud 控制台中,依序前往「Risk」>「Cases」,開啟 Security Operations 控制台的「Cases list」頁面。
  2. 選取要忽略發現項目的案件。
  3. 在案件中,選取要忽略的快訊。
  4. 在快訊中,前往「事件」分頁。
  5. 如要從事件中擷取「發現項目名稱」,請按一下「查看更多」。系統會開啟活動的詳細檢視畫面。
  6. 在「醒目顯示的欄位」部分下方,找出「名稱」欄位名稱。按一下值即可查看完整發現項目名稱。複製完整發現項目名稱值,格式如下:

    organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
    
  7. 在所選快訊的「快訊總覽」分頁中,按一下「手動操作」

  8. 在手動動作「Search」(搜尋) 欄位中,輸入 Update Finding

  9. 在「GoogleSecurityCommandCenter」整合功能下方的搜尋結果中,選取「Update Finding」動作。系統會開啟動作對話方塊視窗。

    根據預設,「Run on Alerts」參數會設為所選快訊值。

  10. 如要設定「發現項目名稱」參數,請貼上從事件詳細資料檢視畫面複製的「名稱」值。

  11. 如要將結果設為靜音,請將「忽略狀態」參數設為「忽略」

  12. 按一下 [Execute] (執行)

後續步驟