本文档介绍了如何使用 Security Operations 控制台功能有助于减少 Security Command Center Enterprise 注入的发现结果。
概览
在 Security Operations 控制台中忽略案例的发现结果可防止 防止它们出现在案例中您可以通过对支持请求执行人工操作来批量忽略发现结果,也可以通过对特定提醒执行人工操作来忽略个别发现结果。
SCC Enterprise - Urgent Posture Findings Connector 会注入所有发现结果 但您可能会注意到有些研究结果似乎与您的解决方案无关, 项目或指明预期行为。在这种情况下,可忽略不计的流量 可能会使安全分析师的工作过于复杂,并阻止分析师 无法有效响应重要漏洞您可以忽略 Security Command Center Enterprise 中现有的不相关发现结果,而不必不断收到相关通知。
忽略多个发现结果
如果您忽略支持请求中的所有发现结果,Security Command Center 会自动关闭 这种情况。
如需忽略支持请求中的多个发现结果,请完成以下步骤:
- 在 Security Operations 控制台中,前往案例。
- 请选择包含要忽略的发现结果的支持请求。
- 在支持请求概览标签页中,点击手动操作。
- 在人工处置措施搜索字段中,输入
Update Finding
。 在 GoogleSecurityCommandCenter 集成下的搜索结果中, 选择 Update Finding 操作。此时,系统会打开操作对话框窗口。
默认情况下,“在提醒时运行”参数设置为所有提醒 值。
可选:如需更改在有提醒时运行参数的默认设置,请从下拉列表中选择相关的发现类型。
如需配置查找名称参数,请输入以下占位符:
[Alert.TicketID]
占位符动态检索与 已选择的提醒
如需忽略发现的结果,请将静音状态参数设置为静音。
点击执行。
忽略个别发现结果
如需忽略个别发现结果,您需要对支持请求中的特定提醒运行更新发现结果操作。此操作不会影响其他提醒
如需忽略个别发现结果,请完成以下步骤:
- 在安全运营控制台中,前往支持请求。
- 选择包含要忽略的发现结果的支持请求。
- 在支持请求中,选择包含要忽略的发现结果的提醒。
- 在提醒中,前往事件标签页。
- 如需从事件中检索发现结果名称,请点击查看更多。通过 系统将打开该活动的详细视图
在突出显示的字段部分下,找到名称字段名称。点击 以查看完整的发现结果名称。复制完整发现结果 name 值,格式如下:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
在所选提醒的 Alert Overview 标签页中,点击 手动操作。
在人工处置措施搜索字段中,输入
Update Finding
。在 GoogleSecurityCommandCenter 集成下的搜索结果中,选择更新发现结果操作。系统随即会打开操作对话框窗口。
默认情况下,在提醒时运行参数设置为所选提醒 值。
要配置发现结果名称参数,请粘贴名称值, 从活动详情视图中复制的模板
如需忽略发现结果,请将忽略状态参数设置为忽略。
点击执行。
后续步骤
详细了解支持请求 。