Personalizzare la finestra di dialogo Chiudi richiesta

Supportato in:

Questo documento spiega come personalizzare la finestra di dialogo Chiudi caso in Google Security Operations (Google SecOps). Per impostazione predefinita, la finestra di dialogo include i campi Motivo, Causa principale e Commento. Gli amministratori possono estendere questa finestra di dialogo aggiungendo parametri personalizzati e cause principali per migliorare la coerenza e la qualità della documentazione dei casi.

Scopri di più su come risolvere e chiudere le richieste.

Aggiungi campo personalizzato

Per personalizzare la finestra di dialogo Chiudi richiesta con parametri aggiuntivi, completa i seguenti passaggi:

  1. Vai a Impostazioni SOAR > Dati del caso > Chiudi caso.
  2. Fai clic su Aggiungi Aggiungi parametri personalizzati.
  3. Completa i campi comuni:
    • Nome:inserisci un nome per il nuovo parametro.
    • Tipo:seleziona un tipo di campo da aggiungere dal menu Tipo:
      • Testo libero: inserisci un nome per il campo per consentire all'analista di inserire dettagli personalizzati per la richiesta. Ad esempio, assegna al campo il nome Numero di telefono del cliente e l'analista può inserire i dati di contatto pertinenti.
      • Pulsante di opzione: seleziona una delle due opzioni. Ad esempio, per specificare se una richiesta è stata risolta o deve essere riassegnata, nel campo Contenuto pulsante di opzione utilizza Mitigated o Escalated per indicare lo stato di risoluzione della richiesta.
      • Elenco a scelta singola: un elenco in cui l'analista seleziona un'opzione. Ad esempio, per classificare il tipo di minaccia identificata in un caso, utilizza opzioni come Malware, Phishing o Minaccia interna per classificare il tipo di minaccia.
      • Elenco a scelta multipla: seleziona più opzioni. Ad esempio, per registrare le azioni relative agli incidenti, includi opzioni come Misure di contenimento implementate, Patch di sistema applicate, Formazione per gli utenti fornita, Avvisi aggiornati o Accesso revocato.
    • Valore predefinito:imposta facoltativamente un valore predefinito per la finestra di dialogo Chiudi richiesta. Lascia vuoto il campo Valore predefinito se non è preselezionata alcuna opzione. Per rimuovere un valore predefinito che hai impostato, fai clic su Reimposta.
    • Descrizione:inserisci una descrizione che viene visualizzata come descrizione comando quando tieni il puntatore sopra il simbolo informativo accanto al parametro nella finestra di dialogo Chiudi richiesta.

Aggiungere una nuova causa principale

Per aggiungere una nuova causa principale al menu Causa principale:

  1. Vai a Impostazioni SOAR > Dati della richiesta > Chiudi richiesta.
  2. Fai clic su AggiungiAggiungi causa principale. Viene visualizzata la finestra di dialogo Aggiungi causa principale per la chiusura della richiesta.
  3. Nell'elenco Motivo, seleziona un motivo e inserisci le informazioni pertinenti nel campo Causa principale.
  4. Fai clic su Aggiungi per salvare la causa principale.

Disposizione dei casi e ottimizzazione delle regole

La disposizione ti consente di identificare le regole "rumorose" che generano volumi elevati di avvisi non attuabili. Quando chiudi le richieste, puoi classificarle come Malicious o Non-Malicious, che corrispondono a True Positive o False Positive.

Per acquisire altri tipi di chiusura o per mantenere i nomi Vero positivo e Falso positivo, Google consiglia di creare un campo personalizzato (Elenco a scelta singola) etichettato Disposizione nella finestra di dialogo Chiudi richiesta. Questo approccio garantisce che il campo Causa principale rimanga disponibile per descrivere l'origine tecnica della richiesta.

  • Vero positivo: una minaccia alla sicurezza legittima che richiedeva una mitigazione.

  • Falso positivo: rilevamento corretto di un'attività autorizzata (ad esempio, un test di penetrazione approvato). Questi valori sono i principali candidati per le liste di ottimizzazione o esclusione.

  • Falso positivo: rilevamento errato causato da errori logici o dal comportamento "rumoroso" del software.

  • Indeterminato: dati insufficienti per trarre una conclusione.

Gli analisti possono utilizzare queste disposizioni nelle dashboard SOC per visualizzare il tasso di falsi positivi per ID regola, consentendo agli ingegneri di dare la priorità alle regole che richiedono un perfezionamento immediato della logica.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.