Vista geral de registos

O Google Security Operations carrega alertas de uma vasta gama de origens. Cada alerta inclui os respetivos eventos de segurança subjacentes e indicadores principais (como origens, destinos e artefactos), que são analisados e processados. Durante esta análise, os indicadores principais, como os IPs de origem e destino, os hashes de ficheiros ou as contas de utilizador, são extraídos e representados como entidades. As entidades são objetos persistentes na plataforma. Recolhem dados de enriquecimento, comentários de analistas e contexto histórico, o que permite aos analistas acompanhar o comportamento das entidades ao longo do tempo e em vários casos. As entidades também aparecem na tela visual para ajudar a ilustrar as relações na paisagem de ameaças.

Criação e agrupamento de registos

A página Casos é onde os analistas podem investigar alertas recebidos e gerir fluxos de trabalho de incidentes. Também pode agrupar automaticamente alertas adicionais em registos existentes com base em entidades partilhadas e regras configuráveis. Os analistas também podem:

• Agrupe automaticamente alertas adicionais em registos existentes com base em entidades partilhadas e regras configuráveis.
• Crie manualmente registos ou simule registos para fins de teste e preparação.

Cabeçalho e vistas da fila de registos

Todos os registos ativos de vários conetores aparecem na fila de registos. Cada entrada de registo mostra metadados importantes, como:

• Nome do registo e ID único
• Data/hora do registo
• Número de alertas associados
• Analista atribuído (com avatar)
• Prioridade e fase do registo (opcional, consoante a vista)

Os analistas podem alternar entre estas vistas:

• Vista predefinida: mostra cartões de registo com informações essenciais.
• Vista compacta: reduz a área visual para uma análise mais rápida.
• Vista de lista: apresenta todos os registos num formato de tabela para operações em massa ou filtragem.

Barra superior da caixa

A barra superior do registo apresenta o contexto ao nível do registo e as ações disponíveis, da seguinte forma:

• O cabeçalho da fila de registos apresenta o título do registo, o ID, a prioridade, a fase, a indicação de tempo, o ambiente de alteração e as etiquetas.
• Também mostra o analista atribuído (nome ou função) e inclui controlos para Chat, Fechar registo, Atualizar, Explorar e o menu Ações do registo.

Para ver detalhes, consulte o artigo O que está na página Registos?

Separador Registo

Cada registo inclui vários separadores que ajudam os analistas a rever, investigar e agir com base nos dados do registo. Estes separadores organizam informações importantes, desde resumos de alto nível a registos detalhados e dados de alertas, num formato consistente e navegável.

Separador Vista geral do registo

O separador Vista geral do registo apresenta widgets específicos do registo configurados pelo administrador. Para ver detalhes, consulte o artigo Explore o separador Vista geral do registo?.

Separador Case Wall

O separador Case Wall apresenta um registo cronológico de todos os eventos e ações relacionados com o registo, desde a criação ao encerramento. Quando abre este separador, pode ver informações relacionadas com o registo, como tarefas, comentários dos utilizadores, mensagens fixadas no chat, ações manuais e do sistema, e anexos de ficheiros (até 50 MB por ficheiro). Cada tipo de conteúdo é representado por um ícone na secção superior da Case Wall.

Ações que pode realizar com este separador:

• Clique em Ver mais para apresentar os resultados da IU padrão e os dados JSON correspondentes.
• Para ver os detalhes de um evento, clique num ou mais ícones de eventos.
• Use o menu junto aos ícones para selecionar um alerta específico.
• Para ver eventos de todos os alertas no registo, selecione Todos os alertas.

Ícone	Descrição
	Apresenta as ações realizadas em alertas numa tabela, incluindo o nome da ação, a data/hora, o nome do alerta, o resultado e o estado (Concluído ou Com falhas). Clique em Mostrar mais para expandir os resultados, os parâmetros e as entidades afetadas. Clique em Mostrar menos para reduzir a vista.
	Apresenta todas as alterações ao estado do registo geradas pelo sistema e pelo utilizador, como atualizações ao título, à fase, à prioridade, à atribuição e ao encerramento.
	Apresenta atividade relacionada com tarefas. Quando uma tarefa estiver concluída, clique em Concluir tarefa. O estado é atualizado para Concluído, juntamente com uma data/hora e os seus comentários.
	Apresenta comentários adicionados manualmente ou pela ação Case Comment.
	Apresenta mensagens afixadas da caixa de diálogo Mensagem instantânea.
	Apresenta os artigos marcados como favoritos na capa protetora clicando no ícone de estrela amarelo.
	Ordena os registos de eventos por data/hora, do mais recente para o mais antigo ou do mais antigo para o mais recente.
	Apresenta estatísticas gerais e avisos sobre o registo e as entidades associadas.

Para mais detalhes, consulte o artigo O que está no separador Capa de proteção?

• Separador Vista geral dos alertas: apresenta todos os alertas associados ao registo, incluindo eventos e metadados associados. Este separador apresenta informações e eventos cruciais associados ao registo.
• A fila de registos, atualizada automaticamente a cada minuto, apresenta todos os registos ativos e permite atualizar, ordenar, filtrar, adicionar ou fechar registos manualmente, conforme necessário.

Automatização de guias interativos

Os guiões são conjuntos predefinidos de ações que recolhem informações de origens de alertas internas e externas. Em seguida, tomam decisões sobre como tratar estes alertas ou realizar operações em sistemas remotos, como bloquear uma porta de firewall ou desativar um utilizador do Active Directory. O Google SecOps executa estas ações de forma automática ou semiautomática com base nos acionadores do manual de procedimentos em qualquer carregamento de alertas.