Personalizar a caixa de diálogo "Fechar caso"

Compatível com:

Este documento explica como personalizar a caixa de diálogo Encerrar caso no Google Security Operations (Google SecOps). Por padrão, a caixa de diálogo inclui os campos Motivo, Causa raiz e Comentário. Os administradores podem estender essa caixa de diálogo adicionando parâmetros personalizados e causas principais para melhorar a consistência e a qualidade da documentação de casos.

Saiba como resolver e fechar casos.

Adicionar um campo personalizado

Para personalizar a caixa de diálogo Fechar caso com outros parâmetros, siga estas etapas:

  1. Acesse Configurações do SOAR > Dados do caso > Encerrar caso.
  2. Clique em Adicionar Adicionar parâmetros personalizados.
  3. Preencha os campos comuns:
    • Nome:insira um nome para o novo parâmetro.
    • Tipo:selecione um tipo de campo para adicionar no menu Tipo:
      • Texto livre: insira um nome para o campo e permita que o analista insira detalhes personalizados para esse caso. Por exemplo, nomeie o campo como Número de telefone do cliente, e o analista poderá inserir os detalhes de contato relevantes.
      • Botão de opção: selecione uma de duas opções. Por exemplo, para especificar se um caso foi resolvido ou precisa ser encaminhado, no campo Conteúdo do botão de opção, use Mitigado ou Encaminhado para indicar o status de resolução do caso.
      • Lista de escolha única: uma lista em que o analista seleciona uma opção. Por exemplo, para categorizar o tipo de ameaça identificada em um caso, use opções como Malware, Phishing ou Ameaça interna para classificar o tipo de ameaça.
      • Lista de múltipla escolha: selecione várias opções. Por exemplo, para registrar ações de incidentes, inclua opções como Medidas de contenção implementadas, Patches do sistema aplicados, Educação do usuário fornecida, Alertas atualizados ou Acesso revogado.
    • Valor padrão:defina um padrão para a caixa de diálogo Encerrar caso. Deixe o campo Valor padrão em branco se nenhuma opção estiver pré-selecionada. Para remover um valor padrão definido, clique em Redefinir.
    • Descrição:insira uma descrição que aparece como uma dica quando você passa o ponteiro sobre as informações ao lado do parâmetro na caixa de diálogo Encerrar caso.

Adicionar uma nova causa raiz

Para adicionar uma nova causa raiz ao menu Causa raiz, siga estas etapas:

  1. Acesse Configurações do SOAR > Dados do caso > Encerrar caso.
  2. Clique em addAdicionar causa raiz. A caixa de diálogo Adicionar causa raiz do encerramento do caso aparece.
  3. Na lista Motivo, selecione uma opção e insira as informações relevantes no campo Causa raiz.
  4. Clique em Adicionar para salvar a causa principal.

Disposição de casos e ajuste de regras

Com a disposição, é possível identificar regras "ruidosas" que geram grandes volumes de alertas sem ação. Ao encerrar casos, você pode categorizá-los como Maliciosos ou Não maliciosos, o que corresponde a Verdadeiro positivo ou Falso positivo.

Para capturar outros tipos de encerramento ou manter os nomes Positivo verdadeiro e positivo falso, o Google recomenda criar um campo personalizado (Lista de escolha única) chamado Disposição na caixa de diálogo Encerrar caso. Essa abordagem garante que o campo Causa raiz permaneça disponível para descrever a origem técnica do caso.

  • Verdadeiro positivo: uma ameaça de segurança legítima que exigiu mitigação.

  • Positivo benigno: uma detecção correta de atividade autorizada (por exemplo, um teste de penetração sancionado). Esses valores são os principais candidatos para listas de ajuste ou exclusão.

  • Falso positivo: uma detecção incorreta causada por erros de lógica ou comportamento "ruidoso" do software.

  • Indeterminado: dados insuficientes para chegar a uma conclusão.

Os analistas podem usar essas disposições nos painéis do SOC para visualizar a taxa de falsos positivos por ID de regra, permitindo que os engenheiros priorizem quais regras exigem refinamento imediato da lógica.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.