變更快訊優先順序,而非案件優先順序

支援的國家/地區:

本文將說明管理安全事件優先順序的最佳做法。因此,我們強烈建議您在快訊層級設定及變更優先順序,而不是直接變更案件優先順序。這項做法會運用系統的優先順序繼承模型,避免嚴重問題遭到誤判。

直接變更案件優先順序的風險

如果直接變更案件優先順序,每個傳入的快訊及其附加的應對手冊邏輯,都會覆寫已建立的案件嚴重程度。 舉例來說,如果重大警報與後續的警報分在同一組,案件優先順序可能會降至,導致重要問題未被偵測到。

警報層級優先順序優勢

變更快訊優先順序時,案件會自動沿用所有已分組快訊中最高的優先順序。這項繼承機制可確保後續優先順序較低的快訊,不會覆寫先前由其他快訊指派的重大嚴重程度。

變更快訊的優先順序

變更快訊優先順序的方法有兩種:

  • 以動作為準:使用「變更快訊優先順序」動作,在應對手冊中設定或手動執行。
  • 直接修改:透過快訊介面變更優先順序:
    1. 在「案件」頁面中,按一下「快訊選項」,然後選取「變更優先順序」
      2. changealertpriority
    2. 在「變更快訊優先順序」對話方塊中,選取所需優先順序,然後按一下「儲存」

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。