自訂「關閉案件」對話方塊

支援的國家/地區:

本文說明如何在 Google Security Operations (Google SecOps) 中自訂「Close Case」(結案) 對話方塊。根據預設,對話方塊會包含「原因」、「根本原因」和「註解」欄位。管理員可以新增自訂參數和根本原因,延長這個對話方塊的顯示時間,藉此提升案件文件的一致性和品質。

進一步瞭解如何解決及結案

新增自訂欄位

如要使用其他參數自訂「Close Case」(結案) 對話方塊,請完成下列步驟:

  1. 依序前往「SOAR 設定」>「案件資料」>「結案」
  2. 按一下「新增」新增自訂參數
  3. 填寫一般欄位:
    • 「名稱」:輸入新參數的名稱。
    • 類型:從「類型」選單選取要新增的欄位類型:
      • 任意文字:輸入欄位名稱,讓分析師輸入該案件的自訂詳細資料。舉例來說,將欄位命名為「客戶電話號碼」,分析師就能輸入相關聯絡資料。
      • 圓形按鈕:選取兩個選項中的一個。舉例來說,如要指定案件是否已解決或需要提報,請在「圓形按鈕內容」欄位中,使用「已解決」或「已提報」來指出案件解決狀態。
      • 單選清單:分析師從清單中選取一個選項。舉例來說,如要將案件中發現的威脅分類,請使用「惡意軟體」、「網路釣魚」或「內部威脅」等選項,將威脅分類。
      • 選擇題清單:選取多個選項。舉例來說,如要記錄事件動作,請加入「已實施遏止措施」、「已套用系統修補程式」、「已提供使用者教育訓練」、「已更新快訊」或「已撤銷存取權」等選項。
    • 預設值:視需要為「關閉案件」對話方塊設定預設值。如果沒有預先選取的選項,請將「預設值」欄位留空。如要移除已設定的預設值,請按一下「重設」
    • 說明:在「結案」對話方塊中,將指標懸停在參數旁的「資訊」上時,畫面上會顯示您輸入的說明文字。

新增根本原因

如要在「根本原因」選單中新增根本原因,請按照下列步驟操作:

  1. 依序前往「SOAR 設定」>「案件資料」>「結案」。
  2. 按一下「新增」新增根本原因。系統會顯示「新增案件關閉根本原因」對話方塊。
  3. 在「原因」清單中選取原因,並在「根本原因」欄位中輸入相關資訊。
  4. 按一下「新增」即可儲存根本原因。

案件結案和規則調整

處置可讓您找出「有干擾」的規則,這些規則會產生大量無法採取行動的快訊。結案時,您可以將案件歸類為「惡意」或「非惡意」,分別對應「真陽性」或「偽陽性」

如要擷取其他結案類型,或保留「True Positive」和「False Positive」名稱,Google 建議在「Close Case」對話方塊中建立標示為「Disposition」的自訂欄位 (Single Choice List)。這樣可確保「根本原因」欄位仍可說明案件的技術來源。

  • 真陽性:需要減輕的合法安全威脅。

  • 良性陽性:正確偵測到授權活動 (例如核准的滲透測試)。這些值是調整或排除清單的主要候選項目。

  • 誤判:因邏輯錯誤或「有雜訊」的軟體行為而導致的錯誤偵測。

  • 未確定:資料不足,無法得出結論。

分析師可以在 SOC 資訊主頁中使用這些處置,以規則 ID 為單位,顯示誤判率,讓工程師優先處理需要立即修正邏輯的規則。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。