Cette page a été traduite par l'API Cloud Translation.

Vue d'ensemble des cas

Compatible avec :

Google SecOps SOAR

Google Security Operations ingère les alertes provenant de nombreuses sources. Chaque alerte inclut ses événements de sécurité sous-jacents et ses indicateurs clés (tels que les sources, les destinations et les artefacts), qui sont analysés et interprétés. Au cours de cette analyse, les principaux indicateurs (tels que les adresses IP source et de destination, les hachages de fichiers ou les comptes utilisateur) sont extraits et représentés sous forme d'entités. Les entités sont des objets persistants dans la plate-forme. Elles collectent des données d'enrichissement, des commentaires d'analystes et un contexte historique, ce qui permet aux analystes de suivre le comportement des entités au fil du temps et dans différents cas. Les entités apparaissent également sur le canevas visuel pour illustrer les relations dans le paysage des menaces.

Créer et regrouper des demandes

La page Cas permet aux analystes d'examiner les alertes entrantes et de gérer les workflows d'incidents. Vous pouvez également regrouper automatiquement d'autres alertes dans des demandes existantes en fonction d'entités partagées et de règles configurables. Les analystes peuvent également :

Regroupez automatiquement les alertes supplémentaires dans les demandes existantes en fonction des entités partagées et des règles configurables.
Créez manuellement des demandes ou simulez-en à des fins de test et de formation.

En-tête et vues de la file d'attente des demandes

Tous les cas actifs provenant de différents connecteurs s'affichent dans la file d'attente des demandes. Chaque entrée de demande affiche des métadonnées clés, telles que :

Nom et ID unique de la demande
Code temporel de la demande
Nombre d'alertes associées
Analyste attribué (avec avatar)
Priorité et état de la demande (facultatif, selon la vue)

Les analystes peuvent basculer entre les vues suivantes :

Vue par défaut : affiche les fiches de demandes avec les informations essentielles.
Vue compacte : réduit l'empreinte visuelle pour une lecture plus rapide.
Vue Liste : affiche toutes les demandes dans un tableau pour les opérations groupées ou le filtrage.

Barre supérieure de la fiche

La barre supérieure de la fiche affiche le contexte au niveau de la fiche et les actions disponibles, comme suit :

L'en-tête de la file d'attente des demandes affiche le titre, l'ID, la priorité et l'état de la demande, l'horodatage, l'environnement de modification et les tags.
Il indique également l'analyste attribué (nom ou rôle) et inclut des commandes pour Chat, Fermer la demande, Actualiser, Explorer et le menu Actions sur la demande.

Pour en savoir plus, consultez Que contient la page "Demandes" ?

Onglet "Demande"

Chaque cas comprend plusieurs onglets qui aident les analystes à examiner les données, à les étudier et à prendre des mesures en fonction de celles-ci. Ces onglets organisent les informations clés (résumés généraux, journaux détaillés et données d'alerte) dans un format cohérent et facile à parcourir.

Onglet "Aperçu de la demande"

L'onglet Aperçu de la demande affiche des widgets spécifiques aux demandes configurés par l'administrateur. Pour en savoir plus, consultez Explorer l'onglet "Aperçu de la demande".

Onglet "Mur des cas"

L'onglet Mur des demandes affiche un journal chronologique de tous les événements et actions liés à une demande, de sa création à sa clôture. Lorsque vous ouvrez cet onglet, vous pouvez afficher des informations sur la demande, comme les tâches, les commentaires des utilisateurs, les messages de chat épinglés, les actions manuelles et système, et les pièces jointes (jusqu'à 50 Mo par fichier). Chaque type de contenu est représenté par une icône dans la section supérieure de la Case Wall.

Voici ce que vous pouvez faire dans cet onglet :

Cliquez sur Afficher plus pour afficher à la fois les résultats de l'UI standard et les données JSON correspondantes.
Pour afficher les détails d'un événement, cliquez sur une ou plusieurs de ses icônes.
Utilisez les icônes pour sélectionner une alerte spécifique.
Pour afficher les événements de toutes les alertes du dossier, sélectionnez Toutes les alertes.

Icône	Description
	Affiche les actions effectuées sur les alertes dans un tableau, y compris le nom de l'action, le code temporel, le nom de l'alerte, le résultat et l'état (Terminé ou Échec). Cliquez sur Afficher plus pour développer les résultats, les paramètres et les entités concernées. Cliquez sur Afficher moins pour réduire la vue.
	Affiche toutes les modifications d'état des demandes générées par le système et les utilisateurs, telles que les modifications apportées au titre, à l'étape, à la priorité, à l'attribution et à la clôture.
	Affiche l'activité liée aux tâches. Lorsqu'une tâche est terminée, cliquez sur Marquer la tâche comme terminée. L'état passe à Terminé, avec un code temporel et vos commentaires.
	Affiche les commentaires ajoutés manuellement ou par l'action Commentaire sur la demande.
	Affiche les messages épinglés de la boîte de dialogue Message instantané.
	Affiche les éléments marqués comme favoris dans le mur des cas en cliquant sur l'icône en forme d'étoile jaune.
	Trie les journaux d'événements par code temporel, du plus récent au plus ancien ou du plus ancien au plus récent.
	Affiche des insights et des avertissements généraux sur la demande et les entités associées.

Pour en savoir plus, consultez Qu'est-ce que l'onglet "Mur des demandes" ?

Onglet Aperçu des alertes : liste toutes les alertes liées à la demande, y compris les événements et métadonnées associés. Cet onglet affiche les informations et les événements essentiels associés à la demande.
La file d'attente des demandes, qui est actualisée automatiquement toutes les minutes, liste toutes les demandes actives. Elle vous permet d'actualiser, de trier, de filtrer, d'ajouter ou de clôturer manuellement des demandes selon vos besoins.

Automatisation des playbooks

Les playbooks sont des ensembles d'actions prédéfinis qui collectent des informations à partir de sources d'alertes internes et externes. Ils décident ensuite comment gérer ces alertes ou effectuer des opérations sur des systèmes à distance, comme bloquer un port de pare-feu ou désactiver un utilisateur Active Directory. Google SecOps effectue ces actions automatiquement ou semi-automatiquement en fonction des déclencheurs de playbook lors de l'ingestion d'une alerte.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.