使用 SOAR 搜尋

支援的國家/地區:

SOAR 搜尋功能可協助您在 Google Security Operations 中快速找出特定案件或實體功能。Google SecOps 會詳細記錄您環境中的所有案件和實體,方便您快速存取相關的調查資料。這項功能支援在過去一年內建立索引的所有資料中,進行任意文字和以欄位為準的搜尋,包括案件中繼資料、警示、事件、通訊埠和案件時間軸。您可以搜尋案件或實體。

探索 SOAR 搜尋選項

您可以使用篩選器縮小搜尋範圍,並對一或多個案件採取行動。如要搜尋案件或實體,請前往 SOAR 搜尋介面。

搜尋客服案件

根據預設,主搜尋列旁的選單會設為搜尋案件。每個結果都包含詳細資料,例如相關聯的快訊、實體、洞察資料和案件牆活動。

如要搜尋案件,請按照下列步驟操作:

  1. 依序前往「調查」> SOAR 搜尋
  2. 輸入搜尋條件:
    • 自由文字搜尋:在主要搜尋列中,輸入與案件相關的關鍵字或詞組。
    • 依據欄位搜尋:使用可用的欄位篩選器,依據特定條件縮小搜尋範圍,例如:
      • CaseIds
      • TicketIds
      • 連接埠
      • AlertName
  3. 使用搜尋列旁的日期挑選器,選取適當的時間範圍。
  4. 按一下案件即可查看更多詳細資料、產生報表或執行動作。

案件搜尋範例

  • caseids:180,181 查詢,傳回特定案件資料。按一下 ID 即可前往「案件詳細資料」畫面。
  • 依「通訊埠:663,770」查詢: 傳回包含這些通訊埠的所有快訊。
  • 依「實體:10.210.1.13」查詢,傳回所有以這個 IP 位址 10.210.1.13 做為實體的案件。
  • 依「AlertName:IRC Connections」查詢,傳回所有符合警報名稱的案件。

搜尋實體

搜尋結果中的每個實體都包含實體類型、風險等級、位置、環境和案件數。一個實體可能與多個案件相關聯。

如要搜尋實體,請按照下列步驟操作:

  1. 依序前往「調查」> SOAR 搜尋
  2. 在搜尋列旁的選單中,選取「實體」
  3. 輸入搜尋條件:
    • 自由文字搜尋:在主要搜尋列中,輸入與實體相關的關鍵字或詞組。
    • 以欄位為準的搜尋:使用可用的欄位篩選器,依特定條件 (例如「包含」或「等於」) 縮小搜尋範圍
  4. 按一下結果中的實體,即可查看相關案件和實體記錄。

依實體搜尋的範例

  • 如果依實體搜尋,可以使用任意文字搜尋。舉例來說,如果以任意文字搜尋「Chronicle」,系統會傳回所有包含該字詞的實體。搜尋結果會顯示每個實體的重要詳細資料,包括:風險、位置、環境和案件數。
  • 按一下個別實體,即可前往「實體詳細資料」頁面查看更多資訊。

使用篩選器縮小搜尋結果範圍

選取特定屬性即可使用篩選器縮小搜尋結果範圍。

如要使用篩選器,請按一下「套用」更新結果,或按一下「清除」將篩選器重設為預設值。

搜尋案件篩選器

搜尋案件時,你可以依下列條件篩選:

  • 狀態:視需要選取「開啟」和「已關閉」選項。選取這個選項後,系統會傳回未結案、已結案或這兩種案件。
  • 環境:依特定環境篩選。
  • 標記:依指派給案件的標記篩選。
  • 指派使用者:選取要指派案件的必要系統使用者。
  • 類別成果:依指派給案件的結果篩選。
  • 通訊埠:依案件中涉及的來源和目的地通訊埠篩選。
  • 產品:依整合式產品篩選。
  • 案件來源:依案件來源篩選。
  • 案件階段:根據 SOC 方法論,依案件階段篩選。
  • 快訊類型:依與案件相關聯的快訊類型篩選。
  • 優先順序:依指派給案件的必要優先順序篩選。
  • 重要性:篩選案件,顯示標示為重要 (True) 或不重要 (False) 的案件。
  • 是否為事件:篩選顯示標示為事件 (True) 或非事件 (False) 的案件。

搜尋實體篩選器

搜尋實體時,您可以根據下列條件篩選結果:

  • 網路:依實體的必要機構網路篩選。
  • 環境:依與實體相關的必要環境進行篩選。
  • 類型:依實體類型篩選。
  • 可疑:篩選出標示為可疑 (True) 或不可疑 (False) 的案件。
  • 是否為內部實體:篩選顯示內部或外部實體 (True),或不顯示 (False)。
  • 已擴充:篩選出系統已擴充 (True) 或未擴充 (False) 的實體。

對案件執行動作

您可以直接從搜尋結果中,對所選案件執行單一或大量動作。

  1. 在搜尋結果中,勾選一或多個案件旁的核取方塊。
  2. 按一下「清單」 選單,然後選擇所需動作:
    • 匯出為 CSV:將所選案件資料下載為 .CSV 檔案。
    • 關閉案件:關閉所選未結案件。
    • 重新開啟案件:重新開啟選取的已結案件。
    • 變更優先順序:修改所選未結案件的優先順序。
    • 指派案件:將選取的未結案件重新指派給其他使用者。
    • 新增標記:為所選未結案件新增標記。
    • 合併案件:將選取的案件合併為一個父項案件。
    • 變更階段:更新所選案件的目前階段。


還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。