Usar a pesquisa no SOAR

Compatível com:

A função Pesquisa do SOAR ajuda você a localizar rapidamente casos ou recursos de entidades específicos no Google Security Operations. O Google SecOps mantém registros detalhados de todos os casos e entidades no seu ambiente, permitindo acesso rápido aos dados relevantes da investigação. Ele é compatível com pesquisas de texto livre e baseadas em campos em todos os dados indexados no último ano, incluindo metadados de casos, alertas, eventos, portas e cronogramas de casos. É possível pesquisar casos ou entidades.

Conheça as opções de pesquisa do SOAR

É possível pesquisar casos ou entidades na interface Pesquisa do SOAR, usando filtros para refinar os resultados e realizar ações em um ou vários casos.

Pesquisar casos

Por padrão, o menu ao lado da barra de pesquisa principal está definido para pesquisar casos. Cada resultado inclui detalhes, como alertas, entidades, insights e atividade do mural de casos associados.

Para pesquisar casos, siga estas etapas:

  1. Acesse Investigação > Pesquisa do SOAR.
  2. Insira os critérios de pesquisa:
    • Pesquisa de texto livre: na barra de pesquisa principal, digite palavras-chave ou frases relacionadas ao caso.
    • Pesquisa baseada em campos: use os filtros de campo disponíveis para refinar sua pesquisa por critérios específicos, como:
      • CaseIds
      • TicketIds
      • Portas
      • AlertName
  3. Selecione o período adequado usando o seletor de datas ao lado da barra de pesquisa.
  4. Clique em um caso para ver mais detalhes, gerar relatórios ou realizar ações.

Exemplos de pesquisas de casos

  • Consulte por caseids:180,181 para retornar dados de casos específicos. Clique em um ID para acessar a tela Detalhes do caso.
  • Consulte por Ports:663,770: para retornar todos os alertas que incluem essas portas.
  • Consulte por Entity:10.210.1.13 para retornar todos os casos que têm esse endereço IP 10.210.1.13 como uma entidade.
  • Consulte por AlertName:IRC Connections para retornar todos os casos com um nome de alerta correspondente.

Pesquisar entidades

Cada entidade nos resultados da pesquisa inclui o tipo de entidade, o nível de risco, a localização, o ambiente e a contagem de casos. Uma entidade pode ser associada a vários casos.

Para pesquisar entidades, siga estas etapas:

  1. Acesse Investigação > Pesquisa do SOAR.
  2. No menu ao lado da barra de pesquisa, selecione Entidades.
  3. Insira os critérios de pesquisa:
    • Pesquisa de texto livre: na barra de pesquisa principal, digite palavras-chave ou frases relacionadas à entidade.
    • Pesquisa baseada em campos: use os filtros de campo disponíveis para refinar sua pesquisa por critérios específicos, como Contém ou É igual a.
  4. Clique em uma entidade nos resultados para ver o contexto, casos relacionados e o registro da entidade.

Exemplos de pesquisa por entidades

  • Ao pesquisar por Entidades, você pode usar a pesquisa de texto livre. Por exemplo, uma pesquisa de texto livre por Chronicle retorna todas as entidades que contêm essa palavra. Os resultados da pesquisa mostram detalhes importantes sobre cada entidade, incluindo: risco, local, ambiente e número de casos.
  • Clique na entidade individual para acessar a página Detalhes da entidade e saber mais.

Usar filtros para refinar os resultados da pesquisa

Os filtros permitem restringir os resultados da pesquisa selecionando atributos específicos.

Para usar os filtros, clique em Aplicar para atualizar os resultados ou em Limpar para redefinir os filtros aos valores padrão.

Pesquisar filtros de casos

Ao pesquisar casos, você pode filtrar por:

  • Status: selecione as opções Aberto e Fechado conforme necessário. Essa seleção retorna casos abertos, fechados ou ambos.
  • Ambiente: filtra por ambientes específicos.
  • Tags: filtra por tags atribuídas a casos.
  • Usuários atribuídos: selecione os usuários do sistema necessários a quem os casos serão atribuídos.
  • Resultados da categoria: filtra pelos resultados atribuídos aos casos.
  • Portas: filtra por portas de origem e destino envolvidas em casos.
  • Produtos: filtra por produtos integrados.
  • Origem do caso: filtra pela origem dos casos.
  • Etapa do caso: filtra por etapas do caso de acordo com a metodologia da SOC.
  • Tipos de alerta: filtra por tipos de alerta associados aos casos.
  • Prioridades: filtra por prioridades obrigatórias atribuídas aos casos.
  • Importância: filtra para mostrar casos marcados como importantes (True) ou não (False).
  • É incidente: filtra para mostrar casos marcados como incidentes (True) ou não (False).

Pesquisar filtros de entidades

Ao pesquisar entidades, é possível filtrar os resultados com base nos seguintes critérios:

  • Redes: filtra pelas redes organizacionais necessárias das entidades.
  • Ambientes: filtra pelos ambientes necessários relacionados às entidades.
  • Tipo: filtra pelo tipo de entidade.
  • É suspeito: filtra para mostrar casos sinalizados como suspeitos (True) ou não (False).
  • É interno: filtra para mostrar entidades internas ou externas (True) ou não (False).
  • É enriquecida: filtra para mostrar entidades enriquecidas pelo sistema (True) ou não (False).

Realizar ações em casos

Você pode realizar ações únicas ou em massa nos casos selecionados diretamente nos resultados da pesquisa.

  1. Nos resultados da pesquisa, marque a caixa de seleção ao lado de um ou mais casos.
  2. Clique em listas Menu e escolha uma ação:
    • Exportar para CSV: baixa os dados de caso selecionados como um arquivo .CSV.
    • Encerrar caso: encerra os casos abertos selecionados.
    • Reabrir caso: reabre os casos fechados selecionados.
    • Mudar a prioridade: modifica a prioridade dos casos abertos selecionados.
    • Atribuir caso: reatribui os casos abertos selecionados a outro usuário.
    • Adicionar tag: adiciona tags aos casos abertos selecionados.
    • Mesclar casos: mescla os casos selecionados em um caso principal.
    • Mudar etapa: atualiza a etapa atual dos casos selecionados.


Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.