套用及儲存篩選器

支援的國家/地區:

本文說明如何使用篩選器縮小案件佇列的搜尋範圍,只查看想審查的案件。案件佇列篩選器只會顯示需要處理的案件,有助於簡化工作流程。無論您是要分類高優先順序的快訊、查看特定環境中的案件,還是與 SOC 團隊協作,篩選器都能透過 `AND`、`OR`、`IS` 和 `IS_NOT` 條件提供彈性控制。

可用的篩選器包括:時間範圍、快訊名稱、分析師、環境、優先順序、產品、階段、標記和劇本狀態。

新增篩選器

定義自訂篩選條件,自訂案件佇列檢視畫面。

如要新增篩選器,請按照下列步驟操作:

  1. 按一下「案件篩選器」filtericon
  2. 在「案件佇列篩選器」對話方塊中,填寫必要的篩選條件。舉例來說,如要顯示過去 24 小時內在調查階段的高優先順序案件:
    • 將「時間範圍」設為 Last 24 hours
    • 將第一個條件設為 Priorities IS High
    • 設定第二項條件 Stages IS_NOT Investigation
  3. 選用:如要儲存篩選器供日後使用,請按一下「儲存篩選器」,然後輸入名稱。篩選器會儲存在案件佇列標題下方的「已儲存的篩選器」 ,供日後使用。
  4. 按一下「套用」

分享案件佇列篩選器

您可以與其他個別使用者、特定 SOC 角色 (例如第 1 層分析師) 或所有使用者共用案件佇列篩選器。

如果篩選器是您與他人共用,或由您共用,名稱旁會顯示「已共用」圖示。

如要共用篩選器,權限群組必須啟用「允許共用案件佇列篩選器」權限。這項權限預設會為「管理員」群組啟用。如要進一步瞭解如何啟用權限,請參閱「編輯權限群組」。

如要分享案件佇列篩選器,請按照下列步驟操作:

  1. 按照「新增篩選器」一文中的步驟新增篩選器。
  2. 按一下「儲存篩選器」
  3. 在「儲存篩選器」對話方塊中,輸入篩選器名稱,然後選擇下列三種共用選項之一:
    • 私人 (僅限我本人):這是預設設定。 濾鏡仍會設為私人,只有您能看到。
    • 公開 (所有使用者):所有有權存取案件的使用者都能看到篩選器。
    • 指定使用者和角色:選取這個選項,即可搜尋及新增特定使用者或預先定義的 SOC 角色。
  4. 按一下 [儲存]

管理已儲存的篩選器

您可以編輯、重新命名、變更共用設定,或刪除您建立的篩選器。共用篩選器的變更會套用至所有共用對象。

編輯篩選器

如要編輯您建立的篩選器,請按照下列步驟操作:

  1. 在案件佇列標題中,按一下「keyboard_arrow_down」 「已儲存的篩選器」
  2. 將游標懸停在要管理的篩選器上,然後按一下「編輯」
  3. 如果篩選器已共用,系統會顯示確認對話方塊。按一下「是」 繼續前往「編輯篩選器」對話方塊。
  4. 修改篩選條件或變更共用設定。
  5. 按一下 [儲存]

暫時修改共用篩選器

如要暫時修改共用篩選器,請按照下列步驟操作:

  1. 在案件佇列標題中,按一下「keyboard_arrow_down」 已儲存的篩選器
  2. 按一下要修改的共用篩選器。
  3. 在案件佇列標題中,按一下 filter_alt 「案件篩選器」,修改篩選器並套用變更。

刪除篩選器

您可以刪除自己建立的篩選器。如果篩選條件是共用的,系統也會從其他使用者的篩選條件清單中移除。

如要刪除篩選器,請按照下列步驟操作:

  1. 將指標懸停在要刪除的篩選器上,然後依序按一下「刪除」
  2. 在確認對話方塊中按一下「是」,即可刪除篩選器。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。