SOAR 검색 사용

다음에서 지원:

SOAR 검색 기능을 사용하면 Google Security Operations에서 특정 케이스 또는 엔티티 기능을 빠르게 찾을 수 있습니다. Google SecOps는 환경 전반의 모든 케이스와 항목에 관한 세부 기록을 유지하여 관련 조사 데이터에 빠르게 액세스할 수 있도록 지원합니다. 케이스 메타데이터, 알림, 이벤트, 포트, 케이스 타임라인 등 지난 1년 동안 인덱싱된 모든 데이터에 걸쳐 자유 텍스트 검색과 필드 기반 검색을 모두 지원합니다. 케이스 또는 항목을 검색할 수 있습니다.

SOAR 검색 옵션 살펴보기

필터를 사용하여 결과를 세부적으로 조정하고 개별 케이스 또는 여러 케이스에 대해 조치를 취하여 SOAR 검색 인터페이스에서 케이스 또는 항목을 검색할 수 있습니다.

사례 검색

기본적으로 기본 검색창 옆의 메뉴는 케이스를 검색하도록 설정되어 있습니다. 각 결과에는 연결된 알림, 엔티티, 통계, 케이스 월 활동과 같은 세부정보가 포함됩니다.

케이스를 검색하려면 다음 단계를 따르세요.

  1. 조사 > SOAR 검색으로 이동합니다.
  2. 검색 기준을 입력합니다.
    • 자유 형식 텍스트 검색: 기본 검색창에 케이스와 관련된 키워드 또는 문구를 입력합니다.
    • 필드 기반 검색: 사용 가능한 필드 필터를 사용하여 다음과 같은 특정 기준으로 검색을 세분화합니다.
      • CaseIds
      • TicketIds
      • 포트
      • AlertName
  3. 검색창 옆에 있는 날짜 선택 도구를 사용하여 적절한 기간을 선택합니다.
  4. 케이스를 클릭하여 세부정보를 확인하거나, 보고서를 생성하거나, 조치를 취할 수 있습니다.

케이스 검색 예

  • caseids:180,181로 쿼리하여 특정 케이스 데이터를 반환합니다. ID를 클릭하여 케이스 세부정보 화면으로 이동합니다.
  • Ports:663,770으로 쿼리: 이러한 포트를 포함하는 모든 알림을 반환합니다.
  • Entity:10.210.1.13으로 쿼리하여 이 IP 주소 10.210.1.13가 항목인 모든 케이스를 반환합니다.
  • AlertName:IRC Connections로 쿼리하여 일치하는 알림 이름이 있는 모든 케이스를 반환합니다.

항목 검색

검색 결과의 각 항목에는 항목 유형, 위험 수준, 위치, 환경, 케이스 수가 포함됩니다. 엔티티는 여러 케이스와 연결될 수 있습니다.

항목을 검색하려면 다음 단계를 따르세요.

  1. 조사 > SOAR 검색으로 이동합니다.
  2. 검색창 옆의 메뉴에서 항목을 선택합니다.
  3. 검색 기준을 입력합니다.
    • 자유 형식 텍스트 검색: 기본 검색창에 항목과 관련된 키워드 또는 구문을 입력합니다.
    • 필드 기반 검색: 사용 가능한 필드 필터를 사용하여 포함 또는 같음과 같은 특정 기준으로 검색을 세분화합니다.
  4. 결과에서 항목을 클릭하여 컨텍스트, 관련 케이스, 항목 로그를 확인합니다.

항목별 검색의 예

  • 엔티티로 검색할 때는 자유 텍스트 검색을 사용할 수 있습니다. 예를 들어 Chronicle을 자유 형식 텍스트로 검색하면 해당 단어가 포함된 모든 항목이 반환됩니다. 검색 결과에는 위험, 위치, 환경, 케이스 수 등 각 항목에 관한 주요 세부정보가 표시됩니다.
  • 개별 항목을 클릭하여 항목 세부정보 페이지로 이동하여 자세한 내용을 확인합니다.

필터를 사용하여 검색 결과 세부 조정

필터를 사용하면 특정 속성을 선택하여 검색 결과 범위를 좁힐 수 있습니다.

필터를 사용하려면 적용을 클릭하여 결과를 업데이트하거나 지우기를 클릭하여 필터를 기본값으로 재설정합니다.

케이스 필터 검색

케이스를 검색할 때 다음을 기준으로 필터링할 수 있습니다.

  • 상태: 필요에 따라 열림닫힘 옵션을 선택합니다. 이 선택은 미해결, 해결됨 또는 두 유형의 케이스를 모두 반환합니다.
  • 환경: 특정 환경별로 필터링합니다.
  • 태그: 케이스에 할당된 태그를 기준으로 필터링합니다.
  • 할당된 사용자: 케이스가 할당될 필수 시스템 사용자를 선택합니다.
  • 카테고리 결과: 케이스에 할당된 결과를 기준으로 필터링합니다.
  • 포트: 케이스와 관련된 소스 및 대상 포트별로 필터링합니다.
  • 제품: 통합된 제품별로 필터링합니다.
  • Case Source(케이스 소스): 케이스 소스를 기준으로 필터링합니다.
  • 케이스 단계: SOC 방법론에 따라 케이스 단계를 기준으로 필터링합니다.
  • Alert Types(알림 유형): 케이스와 연결된 알림 유형을 기준으로 필터링합니다.
  • 우선순위: 케이스에 할당된 필수 우선순위로 필터링합니다.
  • 중요도: 중요 (True) 또는 중요하지 않음 (False)으로 표시된 케이스를 표시하는 필터입니다.
  • Is Incident(사고 여부): 사고(True) 또는 사고 아님(False)으로 표시된 케이스를 표시하도록 필터링합니다.

엔티티 필터 검색

항목을 검색하는 경우 다음 기준에 따라 결과를 필터링할 수 있습니다.

  • 네트워크: 항목에 필요한 조직 네트워크를 기준으로 필터링합니다.
  • 환경: 항목과 관련된 필수 환경별로 필터링합니다.
  • Type: 항목 유형별로 필터링합니다.
  • 의심스러움: 의심스러운 것으로 표시된 케이스 (True) 또는 그렇지 않은 케이스 (False)를 표시하도록 필터링합니다.
  • 내부: 내부 또는 외부 법인 (True)을 표시하거나 표시하지 않도록 (False) 필터링합니다.
  • 강화됨: 시스템(True)에 의해 강화된 항목을 표시하도록 필터링합니다. 강화되지 않은 항목은 False로 표시됩니다.

케이스에 대한 작업 수행

검색 결과에서 선택한 케이스에 대해 단일 또는 일괄 작업을 직접 수행할 수 있습니다.

  1. 검색 결과에서 하나 이상의 케이스 옆에 있는 체크박스를 선택합니다.
  2. 목록 메뉴를 클릭하고 다음 작업 중 하나를 선택합니다.
    • CSV로 내보내기: 선택한 케이스 데이터를 .CSV 파일로 다운로드합니다.
    • 케이스 닫기: 선택한 진행 중 케이스를 닫습니다.
    • 케이스 다시 열기: 선택한 종료된 케이스를 다시 엽니다.
    • 우선순위 변경: 선택한 미해결 케이스의 우선순위를 수정합니다.
    • 케이스 할당: 선택한 미해결 케이스를 다른 사용자에게 재할당합니다.
    • 태그 추가: 선택한 미해결 케이스에 태그를 추가합니다.
    • 케이스 병합: 선택한 케이스를 상위 케이스로 병합합니다.
    • 단계 변경: 선택한 케이스의 현재 단계를 업데이트합니다.


도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.