Aplicar y guardar filtros

Disponible en:

SecOps de Google SOAR

En este documento se explica cómo pueden ayudarte los filtros a acotar tu búsqueda en la cola de casos para centrarte solo en los que quieras revisar. Los filtros de la cola de casos te ayudan a optimizar tu flujo de trabajo, ya que solo muestran los casos en los que tienes que tomar medidas. Tanto si estás clasificando alertas de alta prioridad como si estás revisando casos en un entorno específico o colaborando con un equipo de SOC, los filtros te ofrecen un control flexible mediante las condiciones `AND`, `OR`, `IS` y `IS_NOT`.

Puede filtrar por periodo, nombre de alerta, analistas, entornos, prioridades, productos, fases, etiquetas y estado del manual de procedimientos.

Nota: Cuando filtre casos por roles de SOC (como Tier2), seleccione Incluir usuarios asociados a los roles seleccionados para incluir tanto las asignaciones de roles directas como los usuarios individuales asignados a ese rol. Para ello, marca la casilla Incluir usuarios asociados a los roles seleccionados. Si se selecciona esta opción, el sistema muestra todos los casos asignados directamente al rol o a cualquier usuario que tenga ese rol. Por ejemplo, si "Alex Smith" es miembro de Tier2, cualquier caso que se le asigne aparecerá cuando filtre por Tier2.

Añadir un filtro

Define filtros personalizados para adaptar la vista de la cola de casos.

Para añadir un nuevo filtro, sigue estos pasos:

Haz clic en Filtro de casos.
En el cuadro de diálogo Filtro de la cola de casos, rellena las condiciones de filtro necesarias. Por ejemplo, para mostrar los casos de alta prioridad que no estén en la fase de investigación en las últimas 24 horas, haz lo siguiente:
- En Periodo, elija Last 24 hours.
- Define la primera condición como Priorities IS High.
- Define la segunda condición Stages IS_NOT Investigation.
Opcional: Para guardar el filtro y usarlo más adelante, haz clic en Guardar filtro e introduce un nombre. El filtro se guarda en keyboard_arrow_down Filtros guardados en el encabezado de la cola de casos para que puedas usarlo más adelante.
Haz clic en Aplicar.

Puedes compartir tus filtros de cola de casos con otros usuarios, roles de SOC específicos (como analistas de nivel 1) o todos los usuarios.

Los filtros que se han compartido contigo o que has compartido tú muestran el icono Compartido junto a su nombre.

Para compartir un filtro, tu grupo de permisos debe tener habilitado el permiso Permitir compartir filtros de cola de casos. Este permiso está habilitado de forma predeterminada para el grupo Administrador. Para obtener más información sobre cómo habilitar permisos, consulta el artículo sobre cómo editar un grupo de permisos.

Para compartir los filtros de tu cola de casos, sigue estos pasos:

Para añadir un filtro, sigue los pasos que se indican en Añadir un filtro.
Haz clic en Guardar filtro.
En el cuadro de diálogo Guardar filtro, introduce un nombre para el filtro y, a continuación, elige una de las tres opciones para compartir:
- Privado (solo yo): este es el ajuste predeterminado. El filtro seguirá siendo privado y solo tú podrás verlo.
- Público (todos los usuarios): el filtro es visible para todos los usuarios que tienen acceso a los casos.
- Especificar usuarios y roles: selecciona esta opción para buscar y añadir usuarios específicos o roles de SOC predefinidos.
Haz clic en Guardar.

Gestionar los filtros guardados

Puedes editar, cambiar el nombre, modificar la configuración para compartir o eliminar los filtros que hayas creado. Los cambios que se hagan en los filtros compartidos se aplican a todos los usuarios con los que se hayan compartido.

Editar un filtro

Para editar un filtro que hayas creado, sigue estos pasos:

En el encabezado de la cola de casos, haz clic en keyboard_arrow_down Filtros guardados.
Coloca el cursor sobre el filtro que quieras gestionar y haz clic en editar Editar.
Si el filtro se comparte, aparecerá un cuadro de diálogo de confirmación. Haz clic en Sí para ir al cuadro de diálogo Editar filtro.
Modifica los criterios del filtro o cambia su configuración para compartir.
Haz clic en Guardar.

Modificar temporalmente un filtro compartido

Para modificar temporalmente un filtro compartido, sigue estos pasos:

En el encabezado de la cola de casos, haz clic en keyboard_arrow_down Filtros guardados.
Haz clic en el filtro compartido que quieras modificar.
En el encabezado de la cola de casos, haz clic en filter_alt Filtro de casos para modificar el filtro y aplicar los cambios.

Eliminar un filtro

Puedes eliminar cualquier filtro que hayas creado. Si el filtro se ha compartido, también se eliminará de las listas de filtros de otros usuarios.

Para eliminar un filtro, sigue estos pasos:

Coloca el cursor sobre el filtro que quieras eliminar y haz clic en eliminar Eliminar.
En el cuadro de diálogo de confirmación, haz clic en Sí para eliminar el filtro.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.