Usar la búsqueda de SOAR

Disponible en:

La función Búsqueda de SOAR te ayuda a localizar rápidamente casos o entidades específicos en Google Security Operations. Google SecOps mantiene registros detallados de todos los casos y entidades de su entorno, lo que permite acceder rápidamente a los datos de investigación pertinentes. Admite búsquedas de texto libre y basadas en campos en todos los datos indexados del último año, incluidos los metadatos de casos, las alertas, los eventos, los puertos y las cronologías de casos. Puedes buscar casos o entidades.

Explorar las opciones de búsqueda de SOAR

Puedes buscar casos o entidades desde la interfaz de Búsqueda de SOAR, usar filtros para acotar los resultados y tomar medidas en uno o varios casos.

Buscar casos

De forma predeterminada, el menú situado junto a la barra de búsqueda principal está configurado para buscar casos. Cada resultado incluye detalles, como alertas, entidades, estadísticas y actividad del muro de casos asociados.

Para buscar casos, sigue estos pasos:

  1. Ve a Investigación > Búsqueda de SOAR.
  2. Introduce los criterios de búsqueda:
    • Búsqueda de texto libre: en la barra de búsqueda principal, introduce palabras clave o frases relacionadas con el caso.
    • Búsqueda por campos: usa los filtros de campo disponibles para acotar tu búsqueda por criterios específicos, como los siguientes:
      • CaseIds
      • TicketIds
      • Puertos
      • AlertName
  3. Selecciona el periodo adecuado con el selector de fechas situado junto a la barra de búsqueda.
  4. Haga clic en un caso para ver más detalles, generar informes o realizar acciones.

Ejemplos de búsquedas de casos

  • Consulta por caseids:180,181 para devolver datos de casos específicos. Haz clic en un ID para acceder a la pantalla Detalles del caso.
  • Consulta por Ports:663,770: para devolver todas las alertas que incluyan estos puertos.
  • Consulta por Entity:10.210.1.13 para devolver todos los casos que tengan esta dirección IP 10.210.1.13 como entidad.
  • Consulta por AlertName:IRC Connections para devolver todos los casos con un nombre de alerta coincidente.

Buscar entidades

Cada entidad de los resultados de búsqueda incluye el tipo de entidad, el nivel de riesgo, la ubicación, el entorno y el número de casos. Una entidad puede estar asociada a varios casos.

Para buscar entidades, sigue estos pasos:

  1. Ve a Investigación > Búsqueda de SOAR.
  2. En el menú situado junto a la barra de búsqueda, selecciona Entidades.
  3. Introduce los criterios de búsqueda:
    • Búsqueda de texto libre: en la barra de búsqueda principal, introduce palabras clave o frases relacionadas con la entidad.
    • Búsqueda basada en campos: usa los filtros de campo disponibles para acotar tu búsqueda por criterios específicos, como Contiene o Es igual a.
  4. Haz clic en una entidad de los resultados para ver el contexto, los casos relacionados y el registro de la entidad.

Ejemplos de búsquedas por entidades

  • Cuando buscas por Entidades, puedes usar la búsqueda de texto libre. Por ejemplo, una búsqueda de texto libre de Chronicle devuelve todas las entidades que contengan esa palabra. Los resultados de búsqueda muestran detalles clave sobre cada entidad, como el riesgo, la ubicación, el entorno y el número de casos.
  • Haga clic en la entidad en cuestión para ir a la página Detalles de la entidad y obtener más información.

Usar filtros para acotar los resultados de búsqueda

Los filtros te permiten acotar los resultados de búsqueda seleccionando atributos específicos.

Para usar los filtros, haz clic en Aplicar para actualizar los resultados o en Borrar para restablecer los filtros a sus valores predeterminados.

Buscar filtros de casos

Cuando busques casos, puedes filtrarlos por lo siguiente:

  • Estado: selecciona las opciones Abierto y Cerrado según sea necesario. Esta selección devuelve casos abiertos, cerrados o de ambos tipos.
  • Entorno: filtra por entornos específicos.
  • Etiquetas: filtra por las etiquetas asignadas a los casos.
  • Usuarios asignados: selecciona los usuarios del sistema a los que se asignarán los casos.
  • Resultados de la categoría: filtra por los resultados asignados a los casos.
  • Puertos: filtra por los puertos de origen y destino implicados en los casos.
  • Productos: filtra por los productos integrados.
  • Origen del caso: filtra por el origen de los casos.
  • Fase del caso: filtra por las fases del caso según la metodología del SOC.
  • Tipos de alertas: filtra por los tipos de alertas asociados a los casos.
  • Prioridades: filtra por las prioridades asignadas a los casos.
  • Importancia: filtra para mostrar las incidencias marcadas como importantes (True) o no (False).
  • Es un incidente: filtra los casos marcados como incidentes (True) o no (False).

Buscar filtros de entidades

Si buscas entidades, puedes filtrar los resultados según los siguientes criterios:

  • Redes: filtra por las redes organizativas necesarias de las entidades.
  • Entornos: filtra por los entornos necesarios relacionados con las entidades.
  • Tipo: filtra por el tipo de entidad.
  • Es sospechoso: filtra para mostrar los casos marcados como sospechosos (True) o no (False).
  • Es interno: filtra para mostrar las entidades internas o externas (True) o no (False).
  • Se ha enriquecido: filtra para mostrar las entidades enriquecidas por el sistema (True) o no (False).

Realizar acciones en casos

Puedes realizar acciones individuales o en bloque en los casos seleccionados directamente desde los resultados de búsqueda.

  1. En los resultados de búsqueda, seleccione la casilla situada junto a uno o varios casos.
  2. Haz clic en listas Menú y elige una acción:
    • Exportar a CSV: descarga los datos de los casos seleccionados en un archivo .CSV.
    • Cerrar caso: cierra los casos abiertos seleccionados.
    • Reabrir caso: vuelve a abrir los casos cerrados seleccionados.
    • Cambiar prioridad: modifica la prioridad de los casos abiertos seleccionados.
    • Asignar caso: reasigna los casos abiertos seleccionados a otro usuario.
    • Añadir etiqueta: añade etiquetas a los casos abiertos seleccionados.
    • Combinar casos: combina los casos seleccionados en un caso principal.
    • Cambiar fase: actualiza la fase actual de los casos seleccionados.


¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.