本文档介绍了使用 Security Operations 控制台功能忽略发现结果如何有助于减少 Security Command Center Enterprise 中提取的发现结果数量。
案例、提醒和 SCC 企业版 - 紧急状况发现结果连接器是一项由 Google Security Operations 提供支持的功能。
概览
在安全运维控制台中忽略案例发现结果可防止这些发现结果在案例中显示。您可以通过对案例执行手动操作来批量忽略发现结果,也可以针对特定提醒执行手动操作来忽略单个发现结果。
SCC Enterprise - 紧急状况发现结果连接器会将所有发现结果提取到案例中,但您可能会注意到某些特定发现结果似乎与您的项目无关,或表明其行为符合预期。在这种情况下,可忽略的发现结果流可能会使安全分析师工作负载的复杂化,并阻止分析师有效响应重要漏洞。您可以忽略 Security Command Center Enterprise 中现有的不相关发现结果,而不是持续收到相关通知。
忽略多个发现结果
如需在一个案例中忽略多个发现结果,请完成以下步骤:
- 在安全运维控制台中,前往支持请求。
- 选择包含要忽略的发现结果的案例。
- 在支持请求概览标签页中,点击手动操作。
- 在人工处置措施搜索字段中,输入
Update Finding
。 在 GoogleSecurityCommandCenter 集成下方的搜索结果中,选择 Update Finding 操作。操作对话框窗口随即会打开。
默认情况下,针对提醒运行参数设置为所有提醒值。
可选:如需更改 Run on Alerts 参数默认设置,请从下拉列表中选择相关发现结果类型。
如需配置 Finding Name 参数,请输入以下占位符:
[Alert.TicketID]
该占位符会动态检索与所选提醒对应的发现结果名称。
如需忽略发现结果,请将忽略状态参数设置为忽略。
点击执行。
忽略个别发现结果
如果要忽略单个发现结果,您需要针对该情况下的特定提醒运行 Update Finding 操作。在这种情况下,此操作不会影响其他提醒。
如需忽略单个发现结果,请完成以下步骤:
- 在安全运维控制台中,前往支持请求。
- 选择包含要忽略的发现结果的案例。
- 在本例中,请选择包含要忽略的发现结果的提醒。
- 在提醒中,前往事件标签页。
- 要从事件中检索发现结果名称,请点击查看更多。系统会打开活动的详细视图。
在突出显示的字段部分下,找到名称字段名称。点击其值可查看完整的发现结果名称。请按以下格式复制完整的发现结果名称值:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
在所选提醒的提醒概览标签页中,点击手动操作。
在人工处置措施搜索字段中,输入
Update Finding
。在 GoogleSecurityCommandCenter 集成下方的搜索结果中,选择 Update Finding 操作。操作对话框窗口随即会打开。
默认情况下,针对提醒运行参数会设置为选定的提醒值。
如需配置 Finding Name 参数,请粘贴您从事件详细视图中复制的 Name 值。
如需忽略发现结果,请将忽略状态参数设置为忽略。
点击执行。
后续步骤
详细了解 Google SecOps 文档中的案例。