Benachrichtigungspriorität statt Fallpriorität ändern
In diesem Dokument wird die Best Practice für die Verwaltung der Priorität in Sicherheitsvorgängen beschrieben. Daher empfehlen wir dringend, die Priorität auf Benachrichtigungsebene festzulegen und zu ändern, anstatt die Fallpriorität direkt zu ändern. Bei dieser Vorgehensweise wird das Prioritätsvererbungsmodell des Systems genutzt, um zu verhindern, dass schwerwiegende Probleme falsch klassifiziert werden.
Risiko direkter Änderungen der Fallpriorität
Wenn Sie die Fallpriorität direkt ändern, kann jede eingehende Benachrichtigung und die zugehörige Playbook-Logik den festgelegten Schweregrad des Falls überschreiben. Wenn beispielsweise eine kritische Benachrichtigung mit einer nachfolgenden niedrigen Benachrichtigung gruppiert wird, kann die Fallpriorität auf niedrig sinken, sodass wichtige Probleme unentdeckt bleiben.
Vorteile der Benachrichtigungspriorität
Wenn Sie die Benachrichtigungspriorität ändern, übernimmt der Fall automatisch die höchste Priorität aller gruppierten Benachrichtigungen. Durch diese Übernahme wird sichergestellt, dass eine nachfolgende Benachrichtigung mit niedrigerer Priorität eine kritische Schwere, die zuvor von einer anderen Benachrichtigung zugewiesen wurde, nicht überschreibt.
Priorität einer Benachrichtigung ändern
Es gibt zwei Möglichkeiten, die Priorität der Benachrichtigung zu ändern:
- Aktionsbasiert: Verwenden Sie die Aktion Benachrichtigungspriorität ändern, die entweder in einem Playbook konfiguriert oder als manuelle Aktion ausgeführt wird.
- Direkte Änderung: Ändern Sie die Priorität über die Benachrichtigungsoberfläche:
- Klicken Sie auf der Seite Fälle auf Benachrichtigungsoptionen und wählen Sie Priorität ändern aus.
- Wählen Sie im Dialogfeld Benachrichtigungspriorität ändern die gewünschte Priorität aus und klicken Sie auf Speichern.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten