SOAR-Suche verwenden

Unterstützt in:

Mit der Funktion SOAR Search können Sie schnell bestimmte Fälle oder Entitäten in Google Security Operations finden. In Google SecOps werden detaillierte Aufzeichnungen aller Fälle und Entitäten in Ihrer Umgebung geführt, sodass Sie schnell auf relevante Untersuchungsdaten zugreifen können. Sie unterstützt sowohl Freitext- als auch feldbezogene Suchanfragen für alle Daten, die im letzten Jahr indexiert wurden, einschließlich Fallmetadaten, Benachrichtigungen, Ereignisse, Ports und Fallzeitachsen. Sie können entweder nach Anfragen oder nach Entitäten suchen.

SOAR-Suchoptionen ansehen

Sie können entweder nach Fällen oder nach Entitäten über die SOAR-Suche suchen und Filter verwenden, um die Ergebnisse einzugrenzen und Aktionen für einzelne oder mehrere Fälle auszuführen.

Fälle suchen

Standardmäßig ist das Menü neben der Hauptsuchleiste so eingestellt, dass nach Fällen gesucht wird. Jedes Ergebnis enthält Details wie zugehörige Benachrichtigungen, Einheiten, Statistiken und Aktivitäten in der Fallwand.

So suchen Sie nach Fällen:

  1. Klicken Sie auf Untersuchung > SOAR-Suche.
  2. Geben Sie Ihre Suchkriterien ein:
    • Freitextsuche: Geben Sie in der Hauptsuchleiste Keywords oder Formulierungen ein, die sich auf den Fall beziehen.
    • Feldbezogene Suche: Mit den verfügbaren Feldfiltern können Sie Ihre Suche nach bestimmten Kriterien eingrenzen, z. B.:
      • CaseIds
      • TicketIds
      • Ports
      • AlertName
  3. Wählen Sie mit der Datumsauswahl neben der Suchleiste den gewünschten Zeitraum aus.
  4. Klicken Sie auf einen Fall, um weitere Details aufzurufen, Berichte zu erstellen oder Aktionen auszuführen.

Beispiele für die Suche nach Fällen

  • Mit der Abfrage caseids:180,181 werden bestimmte Falldaten zurückgegeben. Klicken Sie auf eine ID, um den Bildschirm Vorgangsdetails aufzurufen.
  • Abfrage nach Ports:663,770: Gibt alle Benachrichtigungen zurück, die diese Ports enthalten.
  • Wenn Sie nach Entity:10.210.1.13 suchen, werden alle Fälle zurückgegeben, in denen diese IP-Adresse 10.210.1.13 als Entität vorhanden ist.
  • Fragen Sie nach AlertName:IRC Connections, um alle Fälle mit einem übereinstimmenden Warnungsnamen zurückzugeben.

Entitäten suchen

Jede Entität in den Suchergebnissen enthält den Entitätstyp, das Risikoniveau, den Standort, die Umgebung und die Anzahl der Fälle. Eine Einheit kann mit mehreren Fällen verknüpft sein.

So suchen Sie nach Entitäten:

  1. Klicken Sie auf Untersuchung > SOAR-Suche.
  2. Wählen Sie im Menü neben der Suchleiste Entities aus.
  3. Geben Sie Ihre Suchkriterien ein:
    • Freitextsuche: Geben Sie in der Hauptsuchleiste Suchbegriffe oder Wortgruppen ein, die sich auf die Einheit beziehen.
    • Feldbezogene Suche: Verwenden Sie die verfügbaren Feldfilter, um Ihre Suche nach bestimmten Kriterien wie Enthält oder Gleich einzugrenzen.
  4. Klicken Sie in den Ergebnissen auf eine Entität, um Kontext, zugehörige Fälle und das Entitätenlog anzusehen.

Beispiele für die Suche nach Entitäten

  • Wenn Sie nach Entitäten suchen, können Sie die Freitextsuche verwenden. Bei einer Freitextsuche nach Chronicle werden beispielsweise alle Entitäten zurückgegeben, die dieses Wort enthalten. Die Suchergebnisse enthalten wichtige Details zu jeder Einheit, darunter Risiko, Standort, Umgebung und Anzahl der Fälle.
  • Klicken Sie auf die einzelne Einheit, um die Seite Entitätsdetails mit weiteren Informationen aufzurufen.

Suchergebnisse mit Filtern eingrenzen

Mit Filtern können Sie Ihre Suchergebnisse eingrenzen, indem Sie bestimmte Attribute auswählen.

Wenn Sie Filter verwenden möchten, klicken Sie auf Anwenden, um die Ergebnisse zu aktualisieren, oder auf Löschen, um die Filter auf die Standardwerte zurückzusetzen.

Nach Filtern für Anfragen suchen

Bei der Suche nach Fällen können Sie nach folgenden Kriterien filtern:

  • Status: Wählen Sie nach Bedarf die Optionen Offen und Geschlossen aus. Bei dieser Auswahl werden offene, geschlossene oder beide Arten von Anfragen zurückgegeben.
  • Umgebung: Filtert nach bestimmten Umgebungen.
  • Tags: Filtert nach Tags, die Fällen zugewiesen sind.
  • Zugewiesene Nutzer: Wählen Sie die erforderlichen Systemnutzer aus, denen die Fälle zugewiesen werden.
  • Kategorieergebnisse: Filtert nach den Ergebnissen, die den Anfragen zugewiesen sind.
  • Ports: Filtert nach Quell- und Zielports, die in Fällen verwendet werden.
  • Produkte: Filtert nach den integrierten Produkten.
  • Fallquelle: Filtert nach der Quelle der Fälle.
  • Case Stage (Fallphase): Filtert nach Fallphasen gemäß der SOC-Methodik.
  • Benachrichtigungstypen: Filtert nach Benachrichtigungstypen, die mit den Fällen verknüpft sind.
  • Prioritäten: Filtert nach den erforderlichen Prioritäten, die den Fällen zugewiesen sind.
  • Wichtigkeit: Filtert die Ansicht, um Cases zu zeigen, die als wichtig (True) oder nicht wichtig (False) markiert sind.
  • Is Incident (Ist Vorfall): Filtert die Ergebnisse, um Fälle zu zeigen, die als Vorfälle gekennzeichnet sind (True) oder nicht (False).

Nach Filtern für Entitäten suchen

Wenn Sie nach Entitäten suchen, können Sie die Ergebnisse nach den folgenden Kriterien filtern:

  • Netzwerke: Filtert nach den erforderlichen Organisationsnetzwerken der Entitäten.
  • Umgebungen: Filtert nach den erforderlichen Umgebungen, die mit den Entitäten verknüpft sind.
  • Type (Typ): Filtert nach dem Typ der Entität.
  • Verdächtig: Filtert nach Fällen, die als verdächtig (True) oder nicht verdächtig (False) gekennzeichnet sind.
  • Is Internal (Ist intern): Filtert, um interne oder externe Einheiten (True) oder keine (False) anzuzeigen.
  • Is Enriched (Ist angereichert): Filtert, um Elemente anzuzeigen, die vom System angereichert wurden (True) oder nicht (False).

Aktionen für Kundenservicetickets ausführen

Sie können einzelne oder Bulk-Aktionen für ausgewählte Fälle direkt in den Suchergebnissen ausführen.

  1. Klicken Sie in den Suchergebnissen das Kästchen neben einem oder mehreren Fällen an.
  2. Klicken Sie auf Listen Menü und wählen Sie eine Aktion aus:
    • Als CSV exportieren: Lädt die ausgewählten Falldaten als CSV-Datei herunter.
    • Fall schließen: Schließt ausgewählte offene Fälle.
    • Supportanfrage wieder öffnen: Hiermit werden ausgewählte geschlossene Anfragen wieder geöffnet.
    • Priorität ändern: Hiermit wird die Priorität der ausgewählten offenen Fälle geändert.
    • Fall zuweisen: Weist ausgewählte offene Fälle einem anderen Nutzer neu zu.
    • Tag hinzufügen: Fügt den ausgewählten offenen Fällen Tags hinzu.
    • Anfragen zusammenführen: Führt ausgewählte Anfragen in einer übergeordneten Anfrage zusammen.
    • Phase ändern: Aktualisiert die aktuelle Phase ausgewählter Fälle.


Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten