使用 SOAR 搜索

支持的平台:

借助 SOAR 搜索功能,您可以快速找到 Google Security Operations 中的特定案例或实体功能。Google SecOps 会详细记录您环境中的所有事件和实体,以便您快速访问相关调查数据。 它支持在过去一年内编入索引的所有数据中进行自由文本搜索和基于字段的搜索,包括支持请求元数据、提醒、事件、端口和支持请求时间轴。您可以搜索案例或实体。

探索 SOAR 搜索选项

您可以在 SOAR 搜索界面中搜索案例或实体,使用过滤条件缩小搜索结果范围,并对单个或多个案例执行操作。

搜索支持请求

默认情况下,主搜索栏旁边的菜单设置为搜索判例。每个结果都包含详细信息,例如关联的提醒、实体、数据洞见和案例墙活动。

如需搜索诉讼,请按以下步骤操作:

  1. 依次前往调查 > SOAR 搜索
  2. 输入搜索条件:
    • 自由文本搜索:在主搜索栏中,输入与相应诉讼案相关的关键字或短语。
    • 基于字段的搜索:使用可用的字段过滤条件,按特定条件(例如:)优化搜索结果:
      • CaseIds
      • TicketIds
      • 端口
      • AlertName
  3. 使用搜索栏旁边的日期选择器选择合适的时间范围。
  4. 点击某个支持请求即可查看更多详细信息、生成报告或执行操作。

案例搜索示例

  • caseids:180,181 进行查询,以返回特定病例数据。 点击 ID 以进入支持请求详情界面。
  • 端口:663、770 查询: 返回包含这些端口的所有提醒。
  • Entity:10.210.1.13 进行查询,以返回将此 IP 地址 10.210.1.13 作为实体的所有支持请求。
  • AlertName:IRC Connections 进行查询,以返回所有具有匹配的提醒名称的案例。

搜索实体

搜索结果中的每个实体都包含实体类型、风险级别、位置、环境和病例数。一个实体可能与多个支持请求相关联。

如需搜索实体,请按以下步骤操作:

  1. 依次前往调查 > SOAR 搜索
  2. 在搜索栏旁边的菜单中,选择实体
  3. 输入搜索条件:
    • 自由文本搜索:在主搜索栏中,输入与实体相关的关键字或短语。
    • 基于字段的搜索:使用可用的字段过滤条件,按特定条件(例如包含等于)优化搜索结果
  4. 点击结果中的实体即可查看上下文、相关支持请求和实体日志。

按实体搜索的示例

  • 实体搜索时,您可以使用自由文本搜索。例如,对 Chronicle 进行自由文本搜索会返回包含该字词的所有实体。搜索结果会显示每个实体的关键详细信息,包括:风险、位置、环境和病例数。
  • 点击各个实体即可前往实体详情页面,了解更多信息。

使用过滤条件优化搜索结果

借助过滤条件,您可以选择特定属性来缩小搜索结果的范围。

如需使用过滤条件,请点击应用以更新结果,或点击清除以将过滤条件重置为默认值。

搜索支持请求过滤条件

搜索支持请求时,您可以按以下条件进行过滤:

  • 状态:根据需要选择未结已了结选项。选择此选项可返回未结、已结或这两种类型的支持请求。
  • 环境:按特定环境过滤。
  • 标签:按分配给支持请求的标签进行过滤。
  • 指派的用户:选择需要指派给哪些系统用户。
  • 类别结果:按分配给支持请求的结果进行过滤。
  • 端口:按问题中涉及的来源端口和目标端口进行过滤。
  • 产品:按集成产品过滤。
  • Case Source(支持请求来源):按支持请求的来源进行过滤。
  • 支持请求阶段:根据 SOC 方法按支持请求阶段过滤。
  • 提醒类型:按与支持请求关联的提醒类型进行过滤。
  • 优先级:按分配给支持请求的所需优先级进行过滤。
  • 重要程度:过滤条件,用于显示标记为重要 (True) 或不重要 (False) 的支持请求。
  • 是否为突发事件:过滤以显示标记为突发事件 (True) 或未标记为突发事件 (False) 的支持请求。

搜索实体过滤条件

如果搜索的是实体,您可以根据以下条件过滤结果:

  • 网络:按实体的所需组织网络进行过滤。
  • 环境:按与实体相关的必需环境进行过滤。
  • Type:按实体类型过滤。
  • 可疑:过滤条件,用于显示标记为可疑 (True) 或不可疑 (False) 的支持请求。
  • Is Internal:过滤以显示内部或外部实体 (True) 或不显示 (False)。
  • 已扩充:过滤以显示已由系统扩充 (True) 或未扩充 (False) 的实体。

对支持请求执行操作

您可以直接从搜索结果中对所选支持请求执行单个或批量操作。

  1. 在搜索结果中,选中一个或多个支持请求旁边的复选框。
  2. 依次点击 列表 菜单,然后选择一项操作:
    • 导出为 CSV:将所选支持请求数据下载为 .CSV 文件。
    • 了结支持请求:了结所选的未结支持请求。
    • 重新打开支持请求:重新打开所选的已关闭支持请求。
    • 更改优先级:修改所选未完结支持请求的优先级。
    • 分配支持请求:将所选的未结支持请求重新分配给其他用户。
    • 添加标记:向所选的未完结支持请求添加标记。
    • 合并支持请求:将所选支持请求合并到父支持请求中。
    • 更改阶段:更新所选支持请求的当前阶段。


需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。