이 문서에서는 Security Operations 콘솔 기능을 사용하여 발견 항목 숨기기가 Security Command Center Enterprise에서 수집되는 발견 항목 수를 줄이는 데 어떻게 도움이 되는지 설명합니다.
케이스, 알림, SCC Enterprise - 긴급 상황 발견 항목 커넥터는 Google Security Operations에서 제공하는 기능입니다.
개요
보안 운영 콘솔에서 케이스에 대한 발견 항목을 숨겨도 케이스에 표시되지 않습니다. 케이스에 직접 작업을 실행하여 발견 항목을 대량으로 숨기거나 특정 알림에 직접 조치를 실행하여 개별 발견 항목을 숨길 수 있습니다.
SCC Enterprise - 긴급 상태 발견 항목 커넥터는 모든 발견 항목을 케이스로 수집하지만 프로젝트와 관련이 없거나 예상 동작을 나타내는 특정 발견 항목이 발견될 수 있습니다. 이 경우 무시 가능한 발견 항목 흐름으로 인해 보안 분석가 워크로드가 복잡하고 분석가가 중요한 취약점에 효과적으로 반응하지 못할 수 있습니다. Security Command Center Enterprise에서 관련이 없는 기존 발견 항목에 대해 지속적으로 알림을 받는 대신 숨길 수 있습니다.
여러 발견 항목 숨기기
케이스 하나에 여러 발견 항목을 숨기려면 다음 단계를 완료합니다.
- 보안 운영 콘솔에서 케이스로 이동합니다.
- 숨길 발견 항목이 포함된 케이스를 선택합니다.
- 케이스 개요 탭에서 직접 조치를 클릭합니다.
- 직접 조치 검색 필드에
Update Finding을 입력합니다. GoogleSecurityCommandCenter 통합 아래의 검색 결과에서 발견 항목 업데이트 작업을 선택합니다. 작업 대화상자 창이 열립니다.
기본적으로 알림 실행 매개변수는 모든 알림 값으로 설정됩니다.
(선택사항) 알림 실행 매개변수 기본 설정을 변경하려면 드롭다운 목록에서 관련 발견 항목 유형을 선택합니다.
발견 항목 이름 매개변수를 구성하려면 다음 자리표시자를 입력합니다.
[Alert.TicketID]자리표시자는 선택한 알림에 해당하는 발견 항목 이름을 동적으로 검색합니다.
발견 항목을 숨기려면 숨기기 상태 매개변수를 숨기기로 설정합니다.
실행을 클릭합니다.
개별 발견 항목 숨기기
개별 발견 항목을 숨기려면 케이스의 특정 알림에 대해 발견 항목 업데이트 작업을 실행해야 합니다. 이 작업은 케이스의 다른 알림에 영향을 주지 않습니다.
개별 발견 항목을 숨기려면 다음 단계를 완료합니다.
- 보안 운영 콘솔에서 케이스로 이동합니다.
- 숨길 발견 항목이 포함된 케이스를 선택합니다.
- 케이스의 경우 숨길 발견 항목이 포함된 알림을 선택합니다.
- 알림에서 이벤트 탭으로 이동합니다.
- 이벤트에서 발견 항목 이름을 검색하려면 더보기를 클릭합니다. 이벤트의 세부정보 뷰가 열립니다.
강조 표시된 필드 섹션에서 이름 필드 이름을 찾습니다. 전체 발견 항목 이름을 보려면 해당 값을 클릭합니다. 다음 형식으로 전체 발견 항목 이름 값을 복사합니다.
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID선택한 알림의 알림 개요 탭에서 직접 조치를 클릭합니다.
직접 조치 검색 입력란에
Update Finding를 입력합니다.GoogleSecurityCommandCenter 통합 아래의 검색 결과에서 발견 항목 업데이트 작업을 선택합니다. 작업 대화상자 창이 열립니다.
기본적으로 알림 실행 매개변수는 선택한 알림 값으로 설정됩니다.
발견 항목 이름 매개변수를 구성하려면 이벤트 세부정보 뷰에서 복사한 이름 값을 붙여넣습니다.
발견 항목을 숨기려면 숨기기 상태 매개변수를 숨기기로 설정합니다.
실행을 클릭합니다.
다음 단계
Google SecOps 문서에서 케이스에 대해 자세히 알아보기