Use a pesquisa SOAR

Compatível com:

A função Pesquisa SOAR ajuda a localizar rapidamente funcionalidades de casos ou entidades específicas no Google Security Operations. O Google SecOps mantém registos detalhados de todos os casos e entidades no seu ambiente, o que permite o acesso rápido a dados de investigação relevantes. Suporta pesquisas de texto livre e baseadas em campos em todos os dados indexados no último ano, incluindo metadados de registos, alertas, eventos, portas e cronologias de registos. Pode pesquisar registos ou entidades.

Explore as opções de pesquisa SOAR

Pode pesquisar registos ou entidades na interface de pesquisa SOAR, usando filtros para refinar os resultados e tomar medidas em registos individuais ou múltiplos.

Pesquisar pedidos

Por predefinição, o menu junto à barra de pesquisa principal está definido para pesquisar registos. Cada resultado inclui detalhes, como alertas associados, entidades, estatísticas e atividade do mural de registos.

Para pesquisar registos, siga estes passos:

  1. Aceda a Investigação > Pesquisa SOAR.
  2. Introduza os seus critérios de pesquisa:
    • Pesquisa de texto livre: na barra de pesquisa principal, introduza palavras-chave ou expressões relacionadas com o registo.
    • Pesquisa baseada em campos: use os filtros de campo disponíveis para refinar a sua pesquisa por critérios específicos, como:
      • CaseIds
      • TicketIds
      • Portas
      • AlertName
  3. Selecione o período adequado através do selecionador de data junto à barra de pesquisa.
  4. Clique num registo para ver mais detalhes, gerar relatórios ou realizar ações.

Exemplos de pesquisas de casos

  • Consulte por caseids:180,181 para devolver dados de registos específicos. Clique num ID para aceder ao ecrã Detalhes do registo.
  • Consultar por Ports:663,770: para devolver todos os alertas que incluem estas portas.
  • Consultar por Entidade:10.210.1.13 para devolver todos os registos que têm este endereço IP 10.210.1.13 como uma entidade.
  • Query by AlertName:IRC Connections para devolver todos os registos com um nome de alerta correspondente.

Pesquise entidades

Cada entidade nos resultados da pesquisa inclui o tipo de entidade, o nível de risco, a localização, o ambiente e o número de casos. Uma entidade pode estar associada a vários registos.

Para pesquisar entidades, siga estes passos:

  1. Aceda a Investigação > Pesquisa SOAR.
  2. No menu junto à barra de pesquisa, selecione Entidades.
  3. Introduza os seus critérios de pesquisa:
    • Pesquisa de texto livre: na barra de pesquisa principal, introduza palavras-chave ou expressões relacionadas com a entidade.
    • Pesquisa baseada em campos: use os filtros de campo disponíveis para refinar a sua pesquisa por critérios específicos, como Contém ou É igual a
  4. Clique numa entidade nos resultados para ver o contexto, os registos relacionados e o registo de entidades.

Exemplos de pesquisas por entidades

  • Quando pesquisa por Entidades, pode usar a pesquisa de texto livre. Por exemplo, uma pesquisa de texto livre por Chronicle devolve todas as entidades que contêm essa palavra. Os resultados da pesquisa mostram detalhes importantes sobre cada entidade, incluindo: risco, localização, ambiente e número de casos.
  • Clique na entidade individual para aceder à página Detalhes da entidade e ver mais informações.

Utilize filtros para refinar os resultados da pesquisa

Os filtros permitem-lhe restringir os resultados da pesquisa selecionando atributos específicos.

Para usar filtros, clique em Aplicar para atualizar os resultados ou em Limpar para repor os filtros para os valores predefinidos.

Pesquise filtros de registos

Quando pesquisa registos, pode filtrar por:

  • Estado: selecione as opções Aberto e Fechado conforme necessário. Esta seleção devolve registos abertos, fechados ou ambos os tipos de registos.
  • Ambiente: filtra por ambientes específicos.
  • Etiquetas: filtra por etiquetas atribuídas a registos.
  • Utilizadores atribuídos: selecione os utilizadores do sistema necessários aos quais os registos são atribuídos.
  • Resultados da categoria: filtra pelos resultados atribuídos aos registos.
  • Portas: filtra por portas de origem e de destino envolvidas em casos.
  • Produtos: filtra pelos produtos integrados.
  • Origem do registo: filtra pela origem dos registos.
  • Fase do registo: filtra por fases do registo de acordo com a metodologia do SOC.
  • Tipos de alertas: filtra por tipos de alertas associados aos registos.
  • Prioridades: filtra por prioridades necessárias atribuídas aos casos.
  • Importância: filtros para mostrar registos marcados como importantes (True) ou não (False).
  • É incidente: filtra para mostrar registos marcados como incidentes (True) ou não (False).

Filtros de pesquisa de entidades

Se estiver a pesquisar entidades, pode filtrar os resultados com base nos seguintes critérios:

  • Redes: filtra pelas redes organizacionais necessárias das entidades.
  • Ambientes: filtra pelos ambientes necessários relacionados com as entidades.
  • Tipo: filtra pelo tipo de entidade.
  • É suspeito: filtra para mostrar registos denunciados como suspeitos (True) ou não (False).
  • É interno: filtra para mostrar entidades internas ou externas (True) ou não (False).
  • Está enriquecido: filtra para mostrar entidades enriquecidas pelo sistema (True) ou não (False).

Realize ações em registos

Pode realizar ações únicas ou em massa nos registos selecionados diretamente a partir dos resultados da pesquisa.

  1. Nos resultados da pesquisa, selecione a caixa de verificação junto a um ou mais registos.
  2. Clique no menu Listas e escolha uma ação:
    • Exportar para CSV: transfere os dados do registo selecionados como um ficheiro .CSV.
    • Fechar registo: fecha os registos abertos selecionados.
    • Reabrir registo: reabre os registos fechados selecionados.
    • Alterar prioridade: modifica a prioridade dos registos abertos selecionados.
    • Atribuir registo: reatribui os registos abertos selecionados a outro utilizador.
    • Adicionar etiqueta: adiciona etiquetas aos registos abertos selecionados.
    • Unir registos: une os registos selecionados num registo principal.
    • Alterar fase: atualiza a fase atual dos registos selecionados.


Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.