Utiliser la recherche SOAR

Compatible avec :

La fonction Recherche SOAR vous aide à trouver rapidement des fonctionnalités spécifiques aux entités ou aux cas dans Google Security Operations. Google SecOps conserve des enregistrements détaillés de tous les cas et de toutes les entités de votre environnement, ce qui permet d'accéder rapidement aux données d'investigation pertinentes. Il est compatible avec les recherches en texte libre et par champ dans toutes les données indexées au cours de l'année écoulée, y compris les métadonnées des demandes, les alertes, les événements, les ports et les chronologies des demandes. Vous pouvez rechercher des demandes ou des entités.

Explorer les options de recherche SOAR

Vous pouvez rechercher des demandes ou des entités dans l'interface Recherche SOAR, en utilisant des filtres pour affiner les résultats et prendre des mesures sur une ou plusieurs demandes.

Rechercher des demandes

Par défaut, le menu situé à côté de la barre de recherche principale est défini sur la recherche de demandes. Chaque résultat inclut des détails, tels que les alertes, les entités, les insights et l'activité du mur d'affaires associés.

Pour rechercher des demandes, procédez comme suit :

  1. Accédez à Investigation > Recherche SOAR.
  2. Saisissez vos critères de recherche :
    • Recherche en texte libre : dans la barre de recherche principale, saisissez des mots clés ou des expressions liés à la demande.
    • Recherche par champ : utilisez les filtres de champ disponibles pour affiner votre recherche selon des critères spécifiques, tels que :
      • CaseIds
      • TicketIds
      • Ports
      • AlertName
  3. Sélectionnez la période appropriée à l'aide du sélecteur de date à côté de la barre de recherche.
  4. Cliquez sur une demande pour afficher plus de détails, générer des rapports ou effectuer des actions.

Exemples de recherches de cas

  • Exécutez la requête caseids:180,181 pour renvoyer des données spécifiques sur les demandes. Cliquez sur un ID pour accéder à l'écran Détails de la demande.
  • Requête par Ports:663,770 : pour renvoyer toutes les alertes qui incluent ces ports.
  • Effectuez une requête par Entité : 10.210.1.13 pour renvoyer tous les cas qui ont cette adresse IP 10.210.1.13 en tant qu'entité.
  • Interrogez par AlertName:IRC Connections pour renvoyer tous les cas dont le nom d'alerte correspond.

Rechercher des entités

Chaque entité dans les résultats de recherche inclut le type d'entité, le niveau de risque, l'emplacement, l'environnement et le nombre de cas. Une entité peut être associée à plusieurs demandes.

Pour rechercher des entités, procédez comme suit :

  1. Accédez à Investigation > Recherche SOAR.
  2. Dans le menu à côté de la barre de recherche, sélectionnez Entités.
  3. Saisissez vos critères de recherche :
    • Recherche en texte libre : dans la barre de recherche principale, saisissez des mots clés ou des expressions liés à l'entité.
    • Recherche basée sur les champs : utilisez les filtres de champ disponibles pour affiner votre recherche selon des critères spécifiques, tels que Contient ou Égal à.
  4. Cliquez sur une entité dans les résultats pour afficher le contexte, les cas associés et le journal de l'entité.

Exemples de recherches par entités

  • Lorsque vous effectuez une recherche par entités, vous pouvez utiliser la recherche en texte libre. Par exemple, une recherche en texte libre sur Chronicle renvoie toutes les entités contenant ce mot. Les résultats de recherche affichent des informations clés sur chaque entité, y compris le risque, l'emplacement, l'environnement et le nombre de cas.
  • Cliquez sur une entité pour accéder à la page Détails de l'entité et en savoir plus.

Utiliser des filtres pour affiner les résultats de recherche

Les filtres vous permettent d'affiner les résultats de recherche en sélectionnant des attributs spécifiques.

Pour utiliser des filtres, cliquez sur Appliquer afin de mettre à jour vos résultats ou sur Effacer pour rétablir les valeurs par défaut des filtres.

Filtres de recherche de cas

Lorsque vous recherchez des demandes, vous pouvez les filtrer par :

  • État : sélectionnez les options Ouvert et Fermé selon vos besoins. Cette sélection renvoie les demandes ouvertes, fermées ou les deux types.
  • Environnement : filtre par environnement spécifique.
  • Tags : filtrez les demandes par tags qui leur sont attribués.
  • Utilisateurs attribués : sélectionnez les utilisateurs système requis auxquels les demandes sont attribuées.
  • Résultats par catégorie : filtrez les résultats en fonction des résultats attribués aux demandes.
  • Ports : filtre en fonction des ports source et de destination impliqués dans les cas.
  • Produits : filtre par produits intégrés.
  • Source du cas : filtre en fonction de la source des cas.
  • Étape du cas : filtre les étapes du cas selon la méthodologie SOC.
  • Types d'alertes : filtre par types d'alertes associés aux demandes.
  • Priorités : filtre les demandes selon les priorités requises qui leur sont attribuées.
  • Importance : filtre permettant d'afficher les demandes marquées comme importantes (True) ou non (False).
  • Est un incident : filtre pour afficher les demandes marquées comme incidents (True) ou non (False).

Filtres de recherche d'entités

Si vous recherchez des entités, vous pouvez filtrer les résultats en fonction des critères suivants :

  • Réseaux : filtre les réseaux organisationnels requis des entités.
  • Environnements : filtre en fonction des environnements requis associés aux entités.
  • Type : filtre par type d'entité.
  • Est suspect : filtre pour afficher les demandes signalées comme suspectes (True) ou non (False).
  • Est interne : filtre pour afficher les entités internes ou externes (True) ou non (False).
  • Est enrichi : filtre pour afficher les entités enrichies par le système (True) ou non (False).

Effectuer des actions sur les demandes

Vous pouvez effectuer des actions uniques ou groupées sur les demandes sélectionnées directement à partir des résultats de recherche.

  1. Dans les résultats de recherche, cochez la case à côté d'une ou de plusieurs demandes.
  2. Cliquez sur listes Menu, puis choisissez une action :
    • Exporter au format CSV : télécharge les données sélectionnées sur les demandes au format .CSV.
    • Clore la demande : ferme les demandes ouvertes sélectionnées.
    • Rouvrir la demande : rouvre les demandes fermées sélectionnées.
    • Modifier la priorité : modifie la priorité des demandes ouvertes sélectionnées.
    • Attribuer la demande : réattribue les demandes ouvertes sélectionnées à un autre utilisateur.
    • Ajouter un tag : ajoute des tags aux demandes ouvertes sélectionnées.
    • Fusionner les cas : fusionne les cas sélectionnés dans un cas parent.
    • Modifier l'étape : met à jour l'étape actuelle des demandes sélectionnées.


Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.