Triagem e resposta a casos

Este guia ajuda os analistas de segurança a identificar e priorizar com eficiência casos e alertas de segurança que exigem atenção imediata. Ele explica como usar os recursos do Google Security Operations, incluindo visualizações personalizadas, automação, triagem com tecnologia de IA e playbooks. Ao seguir esse método, os analistas podem reduzir o ruído, acelerar os tempos de resposta e concentrar os esforços nos verdadeiros positivos que representam o maior risco. A conclusão bem-sucedida garante a mitigação oportuna de ameaças críticas.

Caso de uso comum

• Objetivo: identificar com eficiência alertas e casos de alto risco em um grande volume de dados de segurança usando automação e IA.
• Valor: garante uma resposta rápida a ameaças críticas, minimizando o impacto potencial.

Antes de começar

• Permissões: verifique se você tem as permissões necessárias no Google SecOps para acessar Casos, Sua mesa de trabalho e executar Playbooks. Alguns papéis específicos do IAM podem ser necessários, como:

  • Administrador da API Chronicle
  • Editor da API Chronicle
  • Leitor da API Chronicle
  • Leitor limitado da API Chronicle

Determinar quais casos e alertas exigem atenção imediata

Esta seção descreve as etapas sequenciais para determinar a urgência.

Monitore filas personalizadas e aplique filtros rigorosos

A abordagem a seguir garante que você veja os itens que precisam da sua atenção específica e o conjunto geral de incidentes de alto risco, proporcionando visibilidade imediata dos eventos mais impactantes.

1. Na plataforma Google SecOps, selecione Sua mesa de trabalho > Meus casos. Essa visualização mostra os casos atribuídos diretamente a você ou ao seu papel de analista.
2. Abra a página principal Casos e clique em Filtro de casos.
3. Filtre as descobertas com níveis de prioridade Crítico e Alto. Salve esses filtros para poder retornar a eles com facilidade.

Usar IA e automação para triagem

Para qualquer alerta, use a automação agêntica, que combina playbooks determinísticos e predefinidos com agentes de IA dinâmicos, como o Agente de triagem e investigação do Gemini. Esse agente automatiza a análise inicial detalhada, geralmente condensando 15 a 20 minutos de trabalho manual em um período muito mais curto.

Principais características:

• Sequenciamento de automação: configure os playbooks para que um playbook de correção (por exemplo, isolamento de host ou suspensão de conta) seja iniciado automaticamente com base na saída do Agente de triagem e investigação do Gemini e possa agir imediatamente em casos importantes.
• Respostas adaptáveis: use saídas geradas por IA (como pontuações de risco ou veredictos como True Positive) como condições em playbooks para acionar diferentes caminhos de resposta automatizados. Por exemplo, isole automaticamente um host se o veredicto for Malicious, mas só marque para revisão se for Suspicious. Você pode usar o veredicto ou a pontuação de risco para aumentar a prioridade ou escalar o caso. Por exemplo, faça o escalonamento para um nível mais alto ou envie uma mensagem ao responsável.
• Reconstrução da árvore de processos: o agente de triagem pode gerar uma linha do tempo visual da atividade do sistema, ajudando os analistas a entender instantaneamente a cadeia de ataques, as relações de processo pai-filho e o movimento lateral.

Usar playbooks para triagem rápida e ação consistente

Na página Casos, use Playbooks pré-criados e personalizados. Os playbooks codificam procedimentos operacionais padrão (SOPs, na sigla em inglês) em fluxos de trabalho automatizados, minimizando o esforço manual e garantindo a consistência.

Principais recursos do playbook:

• Enriquecimento automatizado: muitos playbooks enriquecem automaticamente os alertas com inteligência contra ameaças de fontes como VirusTotal, CrowdStrike e feeds de ameaças internos, fornecendo contexto imediato sobre indicadores de comprometimento (IoCs, na sigla em inglês), como hashes, endereços IP e domínios.
• Pontos de decisão guiados: os playbooks podem pausar e apresentar aos analistas perguntas de sim ou não, perguntas de múltipla escolha ou comandos condicionais. Por exemplo, "Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring".
• Intervenção manual controlada: para ações sensíveis, os playbooks podem incluir etapas de aprovação manual. Isso permite que os analistas revisem as ações propostas (por exemplo, isolar o host, detonar o arquivo na sandbox ou bloquear o endereço IP) antes da execução.
• Gerenciamento de casos automatizado: os playbooks podem automatizar o encaminhamento de casos para equipes especializadas com base nas descobertas e alertas de fechamento automático confirmados como benignos ou informativos, mantendo a fila ativa focada em ameaças acionáveis.

Como os analistas usam playbooks para essa jornada:

• Resposta padronizada: garante que todos os alertas de um tipo específico (por exemplo, phishing ou ransomware) sejam tratados de acordo com os SOPs organizacionais estabelecidos.
• Redução de ruído: filtra ou resolve automaticamente alertas de baixa fidelidade com base na lógica predefinida.
• Redução de tarefas repetitivas: automatiza tarefas demoradas, como coleta de dados, correlação de registros e enriquecimento de entidades.
• Automação agêntica em ação: combina a velocidade analítica dos agentes de IA com a confiabilidade dos playbooks determinísticos.
• Etapa agêntica: os playbooks podem aproveitar a integração da Vertex AI para criar um fluxo de trabalho selecionado com tecnologia Gemini para ajudar na investigação.

Benefício: simplifica o processo de triagem, aplica respostas consistentes, reduz tarefas repetitivas e permite que os analistas lidem com ameaças mais complexas de maneira eficaz.

Exemplos de cenários de atenção imediata

Esta seção contém exemplos de cenários que exigem atenção imediata.

Início da correção automatizada

Você vê um alerta de prioridade Crítica na página Casos para Suspicious PowerShell Execution.

O playbook vinculado mostra que o Agente de triagem do Gemini foi executado, retornou um veredicto True Positive com alta confiança e, consequentemente, o playbook acionou automaticamente uma ação de Isolar host, que agora está pendente de aprovação ou concluída.

Isso exige uma revisão imediata das descobertas do agente e do estado de isolamento.

Decisão manual assistida por IA

Você filtra a fila Casos para Prioridade: Crítica.

Ao abrir um caso, você encontra um playbook pausado em uma pergunta de sim ou não, perguntando se o caso deve ser escalonado ou fechado.

Você revisa o resumo do Agente de triagem e investigação do Gemini, que afirma True Positive altamente provável com uma justificativa detalhada citando indicadores maliciosos específicos.

Você seleciona Escalonar para o nível 2 com confiança.

Solução de problemas

Latência, cota de serviço e limites

• Cota do agente de triagem: o Agente de triagem e investigação do Gemini está sujeito a uma cota, normalmente em torno de 10 investigações por hora por locatário (por exemplo, 5 acionadores manuais, 5 acionadores automáticos). Alertas que excedem esse limite exigem triagem manual.

Correção de erros

Código do erro	Descrição do problema	Correção
N/A	Os itens urgentes esperados estão ausentes da fila "Meus casos" ou "Casos".	Verifique se a regra Alerting está ATIVADA para detecções relevantes. Verifique se os casos estão atribuídos corretamente ao seu usuário ou papel e se nenhum filtro restritivo foi aplicado inadvertidamente à fila.
N/A	O resumo do Gemini está ausente.	Verifique o status de Gemini Investigations no painel de casos. Se a cota foi atingida, uma mensagem vai indicar que o agente não pôde ser acionado.

Validação e teste

Para validar se o processo está funcionando, confirme se:

• Alertas de alta prioridade e críticos aparecem conforme o esperado com base nos filtros.
• Os playbooks são acionados em novos alertas.
• Os resumos do Agente de triagem e investigação do Gemini estão presentes onde esperado.
• Os casos são escalonados ou fechados com base na lógica do playbook e nas decisões do analista.

Sintoma	Resolução
Os itens urgentes esperados estão ausentes da fila "Meus casos" ou "Casos".	Verifique se a regra Alerting está ATIVADA para detecções relevantes. Verifique se os casos estão atribuídos corretamente ao seu usuário ou papel e se nenhum filtro restritivo foi aplicado inadvertidamente à fila.
O resumo do Gemini está ausente.	Verifique o status de Gemini Investigations no painel de casos. Se a cota foi atingida, uma mensagem vai indicar que o agente não pôde ser acionado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.