Mudar a prioridade do alerta em vez da prioridade do caso
Este documento descreve a prática recomendada para gerenciar a prioridade em casos de segurança. Por isso, recomendamos definir e mudar a prioridade no nível do alerta em vez de mudar diretamente a prioridade do caso. Essa prática usa o modelo de herança de prioridade do sistema para evitar a classificação incorreta de problemas graves.
Risco de mudanças diretas na prioridade do caso
Se você mudar a prioridade do caso diretamente, cada alerta recebido e a lógica do playbook anexada poderão substituir a gravidade estabelecida. Por exemplo, se um alerta Crítico for agrupado com um alerta Baixa subsequente, a prioridade do caso poderá cair para Baixa, fazendo com que problemas importantes passem despercebidos.
Benefícios de prioridade no nível de alerta
Quando você muda a prioridade de um alerta, o caso herda automaticamente a prioridade mais alta de todos os alertas agrupados. Essa herança garante que um alerta subsequente com uma prioridade menor não substitua uma gravidade crítica atribuída anteriormente por outro alerta.
Mudar a prioridade de um alerta
Há duas maneiras de mudar a prioridade do alerta:
- Baseada em ação: use a ação Mudar a prioridade do alerta, configurada em um playbook ou executada como uma ação manual.
- Modificação direta: mude a prioridade na interface de alertas:
- Na página Casos, clique em Opções de alerta e selecione Mudar prioridade.
- Na caixa de diálogo Mudar a prioridade do alerta, selecione a prioridade necessária e clique em Salvar.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.