SCC Enterprise - Urgent Posture Findings Connector 會將所有發現事項匯入案件,但您可能會發現特定事項與專案無關,或指出預期行為。在這種情況下,微不足道的發現可能會使安全分析師的工作量過於複雜,並妨礙分析師有效應對重要安全漏洞。您可以略過 Security Command Center Enterprise 中現有的無關發現項目,不必再收到相關通知。
將案件的調查結果設為靜音後,這些結果就不會顯示在案件中。如要大量靜音調查結果,請對案件執行手動操作;如要個別靜音調查結果,請對特定快訊執行手動操作。
忽略多個發現項目
如果略過案件中的所有發現項目,Security Command Center 會自動結案。
如要將案件中的多項發現設為靜音,請完成下列步驟:
- 在 Google Cloud 控制台中,開啟「風險」>「案件」。
- 選取要忽略發現項目的案件。
- 在「案件總覽」分頁中,按一下「手動操作」。
- 在手動動作的「Search」(搜尋) 欄位中,輸入
Update Finding
。 在「GoogleSecurityCommandCenter」整合功能下方的搜尋結果中,選取「Update Finding」動作。系統會開啟動作對話方塊視窗。
根據預設,「Run on Alerts」(在快訊上執行) 參數會設為「All Alerts」(所有快訊) 值。
選用:如要變更「Run on Alerts」參數的預設設定,請從下拉式清單中選取相關的發現類型。
如要設定「尋找名稱」參數,請輸入下列預留位置:
[Alert.TicketID]
系統會根據所選快訊,動態擷取相應的發現項目名稱。
如要忽略發現項目,請將「忽略狀態」參數設為「忽略」。
按一下 [Execute] (執行)。
忽略個別發現項目
如要將個別發現事項設為靜音,您必須對案件中的特定快訊執行「更新發現事項」動作。這項操作不會影響案件中的其他快訊。
如要將個別發現項目設為靜音,請完成下列步驟:
- 在 Google Cloud 控制台中,依序前往「Risk」>「Cases」,開啟 Security Operations 控制台的「Cases list」頁面。
- 選取要忽略發現項目的案件。
- 在案件中,選取要忽略的快訊。
- 在快訊中,前往「事件」分頁。
- 如要從事件中擷取「發現項目名稱」,請按一下「查看更多」。系統會開啟活動的詳細檢視畫面。
在「醒目顯示的欄位」部分下方,找出「名稱」欄位名稱。按一下值即可查看完整發現項目名稱。複製完整發現項目名稱值,格式如下:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
在所選快訊的「快訊總覽」分頁中,按一下「手動操作」。
在手動動作「Search」(搜尋) 欄位中,輸入
Update Finding
。在「GoogleSecurityCommandCenter」整合功能下方的搜尋結果中,選取「Update Finding」動作。系統會開啟動作對話方塊視窗。
根據預設,「Run on Alerts」參數會設為所選快訊值。
如要設定「發現項目名稱」參數,請貼上從事件詳細資料檢視畫面複製的「名稱」值。
如要將結果設為靜音,請將「忽略狀態」參數設為「忽略」。
按一下 [Execute] (執行)。
後續步驟
詳情請參閱 Google SecOps 說明文件中的案件。