케이스의 발견 항목 숨기기

이 문서에서는 Security Operations 콘솔 기능을 사용해 발견 항목을 숨기면 어떻게 Security Command Center Enterprise에서 수집되는 발견 항목 수를 줄이는 데 도움이 되는지 설명합니다.

개요

Security Operations 콘솔에서 케이스에 대한 발견 항목을 숨기면 케이스에 표시되지 않습니다. 케이스에 수동으로 작업을 실행하여 발견 항목을 일괄적으로 숨기거나 특정 알림에 직접 조치를 실행하여 개별 발견 항목을 숨길 수 있습니다.

SCC Enterprise - 긴급 상황 발견 항목 커넥터는 모든 발견 항목을 케이스로 수집하지만 프로젝트와 관련이 없거나 예상 동작을 나타내는 특정 발견 항목이 발견될 수 있습니다. 이 경우 미미한 발견 항목의 흐름으로 인해 보안 분석가 워크로드가 복잡해져 분석가가 중요한 취약점에 효과적으로 대응하지 못할 수 있습니다. Security Command Center Enterprise에서 관련이 없는 기존 발견 항목에 대한 알림을 지속적으로 수신하는 대신 이를 숨길 수 있습니다.

여러 발견 항목 숨기기

케이스의 모든 발견 항목을 숨기면 Security Command Center가 케이스를 자동으로 닫습니다.

한 케이스의 여러 발견 항목을 숨기려면 다음 단계를 완료합니다.

  1. 보안 운영 콘솔에서 케이스로 이동합니다.
  2. 숨길 발견 항목이 포함된 케이스를 선택합니다.
  3. 케이스 개요 탭에서 직접 조치를 클릭합니다.
  4. 직접 조치의 검색 필드에 Update Finding을 입력합니다.

  5. GoogleSecurityCommandCenter 통합 아래의 검색 결과에서 발견 항목 업데이트 작업을 선택합니다. 작업 대화상자 창이 열립니다.

    기본적으로 알림 실행 매개변수는 모든 알림 값으로 설정됩니다.

  6. (선택사항) 알림 실행 매개변수 기본 설정을 변경하려면 드롭다운 목록에서 관련 발견 항목 유형을 선택합니다.

  7. 발견 항목 이름 매개변수를 구성하려면 다음 자리표시자를 입력합니다. [Alert.TicketID]

    자리표시자는 선택한 알림에 해당하는 발견 항목 이름을 동적으로 검색합니다.

  8. 발견 항목을 숨기려면 숨기기 상태 매개변수를 숨기기로 설정합니다.

  9. 실행을 클릭합니다.

개별 발견 항목 숨기기

개별 발견 항목을 숨기려면 케이스의 특정 알림에 대해 발견 항목 업데이트 작업을 실행해야 합니다. 이 작업은 케이스의 다른 알림에 영향을 주지 않습니다.

개별 발견 항목을 숨기려면 다음 단계를 완료합니다.

  1. 보안 운영 콘솔에서 케이스로 이동합니다.
  2. 숨길 발견 항목이 포함된 케이스를 선택합니다.
  3. 케이스에서 숨길 발견 항목이 포함된 알림을 선택합니다.
  4. 알림에서 이벤트 탭으로 이동합니다.
  5. 이벤트에서 발견 항목 이름을 검색하려면 더보기를 클릭합니다. 이벤트의 세부정보 뷰가 열립니다.

  6. 강조 표시된 필드 섹션의 이름 필드에서 이름을 찾습니다. 전체 발견 항목 이름을 보려면 해당 값을 클릭합니다. 다음 형식으로 전체 발견 항목 이름 값을 복사합니다.

    organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID

  7. 선택한 알림의 알림 개요 탭에서 직접 조치를 클릭합니다.

  8. 직접 조치 검색 필드에 Update Finding를 입력합니다.

  9. GoogleSecurityCommandCenter 통합 아래의 검색 결과에서 발견 항목 업데이트 작업을 선택합니다. 작업 대화상자 창이 열립니다.

    기본적으로 알림 실행 매개변수는 선택한 알림 값으로 설정됩니다.

  10. 발견 항목 이름 매개변수를 구성하려면 이벤트 세부정보 뷰에서 복사한 이름 값을 붙여넣습니다.

  11. 발견 항목을 숨기려면 숨기기 상태 매개변수를 숨기기로 설정합니다.

  12. 실행을 클릭합니다.

다음 단계