Menggunakan Penelusuran SOAR

Fungsi Penelusuran SOAR membantu Anda menemukan kasus atau fitur entitas tertentu dengan cepat di Google Security Operations. Google SecOps menyimpan catatan mendetail semua kasus dan entitas di seluruh lingkungan Anda, sehingga memungkinkan akses cepat ke data investigasi yang relevan. Fitur ini mendukung penelusuran berbasis kolom dan teks bebas di semua data yang diindeks dalam satu tahun terakhir, termasuk metadata kasus, pemberitahuan, peristiwa, port, dan linimasa kasus. Anda dapat menelusuri kasus atau entitas.

Menjelajahi opsi Penelusuran SOAR

Anda dapat menelusuri kasus atau entitas dari antarmuka Penelusuran SOAR, menggunakan filter untuk menyaring hasil dan mengambil tindakan pada satu atau beberapa kasus.

Telusuri kasus

Secara default, menu di samping kotak penelusuran utama disetel untuk menelusuri kasus. Setiap hasil mencakup detail, seperti pemberitahuan terkait, entity, insight, dan aktivitas dinding kasus.

Untuk menelusuri kasus, ikuti langkah-langkah berikut:

1. Buka Investigasi > Penelusuran SOAR.
2. Masukkan kriteria penelusuran Anda:
   • Penelusuran teks bebas: Di kotak penelusuran utama, masukkan kata kunci atau frasa yang terkait dengan kasus tersebut.
   • Penelusuran berbasis kolom: Gunakan filter kolom yang tersedia untuk menyaring penelusuran Anda berdasarkan kriteria tertentu, seperti:
     • CaseIds
     • TicketIds
     • Port
     • AlertName
3. Pilih jangka waktu yang sesuai menggunakan pemilih tanggal di samping kotak penelusuran.
4. Klik kasus untuk melihat detail selengkapnya, membuat laporan, atau melakukan tindakan.

Contoh penelusuran kasus

• Buat kueri berdasarkan caseids:180,181 untuk menampilkan data kasus tertentu. Klik ID untuk membuka layar Detail Kasus.
• Kueri menurut Ports:663,770: untuk menampilkan semua pemberitahuan yang menyertakan port ini.
  
• Kueri menurut Entity:10.210.1.13 untuk menampilkan semua kasus yang memiliki alamat IP 10.210.1.13 ini sebagai entity.
  
• Kueri menurut AlertName:IRC Connections untuk menampilkan semua kasus dengan nama pemberitahuan yang cocok.
  

Menelusuri entitas

Setiap entitas dalam hasil penelusuran mencakup jenis entitas, tingkat risiko, lokasi, lingkungan, dan jumlah kasus. Entitas dapat dikaitkan dengan beberapa kasus.

Untuk menelusuri entitas, ikuti langkah-langkah berikut:

1. Buka Investigasi > Penelusuran SOAR.
2. Di menu di samping kotak penelusuran, pilih Entitas.
3. Masukkan kriteria penelusuran Anda:
   • Penelusuran teks bebas: di kotak penelusuran utama, masukkan kata kunci atau frasa yang terkait dengan entitas.
   • Penelusuran berbasis kolom: gunakan filter kolom yang tersedia untuk menyaring penelusuran menurut kriteria tertentu, seperti Berisi atau Sama dengan
4. Klik entitas dalam hasil untuk melihat konteks, kasus terkait, dan log entitas.

Contoh penelusuran menurut entitas

• Saat menelusuri menurut Entitas, Anda dapat menggunakan penelusuran teks bebas. Misalnya, penelusuran teks bebas untuk Chronicle akan menampilkan semua entitas yang berisi kata tersebut. Hasil penelusuran menampilkan detail penting tentang setiap entitas, termasuk: Risiko, Lokasi, Lingkungan, dan jumlah kasus.
• Klik setiap entitas untuk membuka halaman Detail Entitas guna mendapatkan informasi selengkapnya.

Menggunakan filter untuk menyaring hasil penelusuran

Filter memungkinkan Anda mempersempit hasil penelusuran dengan memilih atribut tertentu.

Untuk menggunakan filter, Klik Terapkan untuk memperbarui hasil atau Hapus untuk mereset filter ke nilai defaultnya.

Filter penelusuran kasus

Saat menelusuri kasus, Anda dapat memfilter berdasarkan:

• Status: Pilih opsi Buka dan Tutup sesuai kebutuhan. Pilihan ini akan menampilkan kasus yang terbuka, tertutup, atau kedua jenis kasus.
• Lingkungan: Memfilter menurut lingkungan tertentu.
• Tag: Memfilter menurut tag yang ditetapkan ke kasus.
• Pengguna yang Ditugaskan: Pilih pengguna sistem yang diperlukan yang akan ditugaskan untuk kasus tersebut.
• Hasil Kategori: Memfilter menurut hasil yang ditetapkan ke kasus.
• Port: Memfilter menurut port sumber dan tujuan yang terlibat dalam kasus.
• Produk: Memfilter menurut produk yang terintegrasi.
• Sumber Kasus: Memfilter berdasarkan sumber kasus.
• Tahap Kasus: Memfilter menurut tahap kasus sesuai dengan metodologi SOC.
• Jenis Notifikasi: Memfilter menurut jenis notifikasi yang terkait dengan kasus.
• Prioritas: Memfilter menurut prioritas yang diperlukan yang ditetapkan ke kasus.
• Penting: Memfilter untuk menampilkan kasus yang ditandai sebagai penting (True) atau tidak (False).
• Adalah Insiden: Memfilter untuk menampilkan kasus yang ditandai sebagai insiden (True) atau tidak (False).

Filter penelusuran untuk entitas

Jika menelusuri entitas, Anda dapat memfilter hasil berdasarkan kriteria berikut:

• Jaringan: Memfilter menurut jaringan organisasi yang diperlukan dari entitas.
• Lingkungan: Memfilter berdasarkan lingkungan yang diperlukan terkait entitas.
• Jenis: Memfilter menurut jenis entitas.
• Mencurigakan: Memfilter untuk menampilkan kasus yang ditandai sebagai mencurigakan (True) atau tidak (False).
• Is Internal: Memfilter untuk menampilkan entitas internal atau eksternal (True) atau tidak (False).
• Diperkaya: Memfilter untuk menampilkan entitas yang diperkaya oleh sistem (True) atau tidak (False).

Melakukan tindakan pada kasus

Anda dapat melakukan tindakan tunggal atau massal pada kasus yang dipilih langsung dari hasil penelusuran.

1. Di hasil penelusuran, centang kotak di samping satu atau beberapa kasus.
2. Klik daftar Menu, lalu pilih salah satu tindakan:
   • Ekspor ke CSV: mendownload data kasus yang dipilih sebagai file .CSV.
   • Tutup kasus: menutup kasus terbuka yang dipilih.
   • Buka kembali kasus: membuka kembali kasus tertutup yang dipilih.
   • Ubah prioritas: mengubah prioritas kasus terbuka yang dipilih.
   • Tetapkan kasus: menetapkan kembali kasus terbuka yang dipilih ke pengguna lain.
   • Tambahkan tag: menambahkan tag ke kasus terbuka yang dipilih.
   • Gabungkan kasus: menggabungkan kasus yang dipilih ke dalam kasus induk.
   • Ubah tahap: memperbarui tahap saat ini dari kasus yang dipilih.