SCC Enterprise - Urgent Posture Findings 连接器会将所有发现结果提取到支持请求中,但您可能会发现某些发现结果与您的项目无关或表明的是预期行为。在这种情况下,大量微不足道的发现可能会使安全分析师的工作量过于复杂,并妨碍分析师有效应对重要漏洞。您无需不断收到 Security Command Center Enterprise 中现有无关发现结果的通知,而是可以将其忽略。
忽略用例的发现结果后,这些结果将不会显示在用例中。您可以对支持请求运行手动操作来批量忽略发现结果,也可以对特定提醒运行手动操作来忽略单个发现结果。
忽略多个发现结果
如果您忽略支持请求中的所有发现结果,Security Command Center 会自动关闭该支持请求。
如需忽略某个支持请求中的多个发现结果,请完成以下步骤:
- 在 Google Cloud 控制台中,依次打开风险 > 支持请求。
- 选择包含要忽略的发现结果的支持请求。
- 在支持请求概览标签页中,点击人工操作。
- 在手动操作的搜索字段中,输入
Update Finding。 在 GoogleSecurityCommandCenter 集成下的搜索结果中,选择更新发现结果操作。系统会打开操作对话框窗口。
默认情况下,“Run on Alerts”(在提醒触发时运行)参数设置为“All Alerts”(所有提醒)值。
可选:如需更改在收到提醒时运行参数的默认设置,请从下拉列表中选择相关发现类型。
如需配置 Finding Name 参数,请输入以下占位符:
[Alert.TicketID]此占位符会动态检索与所选提醒对应的发现结果名称。
如需忽略发现结果,请将忽略状态参数设置为忽略。
点击执行。
忽略个别发现结果
如需忽略个别发现结果,您需要针对相应支持请求中的特定提醒运行 Update Finding 操作。此操作不会影响相应支持请求中的其他提醒。
如需忽略个别发现结果,请完成以下步骤:
- 在 Google Cloud 控制台中,依次前往风险 > 支持请求,打开 Security Operations 控制台的支持请求列表页面。
- 选择包含要忽略的发现结果的支持请求。
- 在支持请求中,选择包含要忽略的发现结果的提醒。
- 在提醒中,前往事件标签页。
- 如需从事件中检索发现结果名称,请点击查看更多。系统会打开活动的详细视图。
在突出显示的字段部分下,找到一个名称字段名称。点击相应的值即可查看完整的发现结果名称。复制完整的问题名称值,格式如下:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID在所选提醒的提醒概览标签页中,点击手动操作。
在手动操作的搜索字段中,输入
Update Finding。在 GoogleSecurityCommandCenter 集成下的搜索结果中,选择更新发现结果操作。系统会打开操作对话框窗口。
默认情况下,Run on Alerts 参数设置为所选提醒值。
如需配置 Finding Name 参数,请粘贴您从事件详细视图中复制的名称值。
如需忽略发现结果,请将 Mute Status 参数设置为 Mute。
点击执行。
后续步骤
如需详细了解,请参阅 Google SecOps 文档中的支持请求。