Esta página se ha traducido con Cloud Translation API.

Vista general de casos

Disponible en:

SecOps de Google SOAR

Google Security Operations ingiere alertas de una amplia gama de fuentes. Cada alerta incluye los eventos de seguridad subyacentes y los indicadores clave (como fuentes, destinos y artefactos), que se analizan y se desglosan. Durante este análisis, se extraen indicadores clave, como las IPs de origen y de destino, los hashes de archivos o las cuentas de usuario, y se representan como entidades. Las entidades son objetos persistentes en la plataforma. Recogen datos de enriquecimiento, comentarios de analistas y contexto histórico, lo que permite a los analistas monitorizar el comportamiento de las entidades a lo largo del tiempo y en diferentes casos. Las entidades también aparecen en el lienzo visual para ilustrar las relaciones en el panorama de amenazas.

Creación y agrupación de casos

En la página Casos, los analistas pueden investigar las alertas entrantes y gestionar los flujos de trabajo de los incidentes. También puede agrupar automáticamente alertas adicionales en casos ya abiertos en función de entidades compartidas y reglas configurables. Los analistas también pueden hacer lo siguiente:

Agrupa automáticamente las alertas adicionales en casos ya abiertos en función de las entidades compartidas y las reglas configurables.
Crea casos manualmente o simula casos con fines de prueba y formación.

Encabezado y vistas de la cola de casos

Todos los casos activos de varios conectores aparecen en la cola de casos. Cada entrada de caso muestra metadatos clave, como los siguientes:

Nombre del caso e ID único
Marca de tiempo del caso
Número de alertas asociadas
Analista asignado (con avatar)
Prioridad y fase del caso (opcional, según la vista)

Los analistas pueden alternar entre estas vistas:

Vista predeterminada: muestra tarjetas de caso con información esencial.
Vista compacta: reduce el espacio visual para que puedas consultar la información más rápido.
Vista de lista: muestra todos los casos en formato de tabla para realizar operaciones en bloque o filtrar.

Barra superior de la funda

La barra superior de la incidencia muestra el contexto a nivel de incidencia y las acciones disponibles, como se indica a continuación:

El encabezado de la cola de casos muestra el título, el ID, la prioridad, la fase, la marca de tiempo, el entorno de cambio y las etiquetas del caso.
También se muestra el analista asignado (nombre o rol) e incluye controles para Chat, Cerrar caso, Actualizar, Explorar y el menú Acciones del caso.

Para obtener más información, consulta el artículo ¿Qué hay en la página Casos?

Pestaña de caso

Cada caso incluye varias pestañas que ayudan a los analistas a revisar, investigar y tomar medidas en relación con los datos del caso. Estas pestañas organizan la información clave (desde resúmenes generales hasta registros detallados y datos de alertas) en un formato coherente y fácil de consultar.

Pestaña Descripción general del caso

En la pestaña Resumen del caso se muestran los widgets específicos del caso que ha configurado el administrador. Para obtener más información, consulte el artículo ¿Qué es la pestaña Resumen del caso?

Pestaña Panel de casos

La pestaña Muro de casos muestra un registro cronológico de todos los eventos y las acciones relacionados con el caso, desde su creación hasta su cierre. Cuando abras esta pestaña, podrás ver información relacionada con el caso, como tareas, comentarios de usuarios, mensajes de chat fijados, acciones manuales y del sistema, y archivos adjuntos (de hasta 50 MB por archivo). Cada tipo de contenido está representado por un icono en la sección superior de la pared de casos.

Acciones que puedes realizar en esta pestaña:

Haga clic en Ver más para ver los resultados de la interfaz de usuario estándar y los datos JSON correspondientes.
Para ver los detalles de un evento, haz clic en uno o varios de los iconos de evento.
Usa los iconos situados junto a las alertas para seleccionar una específica.
Para ver los eventos de todas las alertas del caso, selecciona Todas las alertas.

Icono	Descripción
	Muestra las acciones realizadas en las alertas en una tabla, incluido el nombre de la acción, la marca de tiempo, el nombre de la alerta, el resultado y el estado (Completado o Error). Haga clic en Mostrar más para desplegar los resultados, los parámetros y las entidades afectadas. Haz clic en Mostrar menos para contraer la vista.
	Muestra todos los cambios de estado de los casos generados por el sistema y por los usuarios, como las actualizaciones del título, la fase, la prioridad, la asignación y el cierre.
	Muestra la actividad relacionada con las tareas. Cuando se complete una tarea, haz clic en Completar tarea. El estado cambia a Completado junto con una marca de tiempo y tus comentarios.
	Muestra los comentarios añadidos manualmente o mediante la acción Comentario del caso.
	Muestra los mensajes fijados del cuadro de diálogo Mensaje instantáneo.
	Muestra los elementos marcados como favoritos en el panel de casos haciendo clic en el icono de estrella amarillo.
	Ordena los registros de eventos por marca de tiempo, de más reciente a más antiguo o de más antiguo a más reciente.
	Muestra información general y advertencias sobre el caso y las entidades asociadas.

Para obtener más información, consulta el artículo ¿Qué hay en la pestaña Muro de casos?

Pestaña Resumen de alertas: muestra todas las alertas vinculadas al caso, incluidos los eventos y los metadatos asociados. En esta pestaña se muestra información y eventos cruciales asociados al caso.
La cola de casos, que se actualiza automáticamente cada minuto, muestra todos los casos activos y te permite actualizarlos, ordenarlos, filtrarlos, añadirlos o cerrarlos manualmente según sea necesario.

Automatización de guías

Los manuales son conjuntos de acciones predefinidos que recogen información de fuentes de alertas internas y externas. Después, toman decisiones sobre cómo gestionar estas alertas o realizar operaciones en sistemas remotos, como bloquear un puerto de firewall o inhabilitar un usuario de Active Directory. Google SecOps realiza estas acciones de forma automática o semiautomática en función de los activadores de la guía en cualquier alerta.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.