Esta página foi traduzida pela API Cloud Translation.

Visão geral de casos

Compatível com:

SecOps do Google SOAR

O Google Security Operations ingere alertas de várias fontes. Cada alerta inclui os eventos de segurança e indicadores principais (como fontes, destinos e artefatos) que são analisados e processados. Durante essa análise, os indicadores principais, como IPs de origem e destino, hashes de arquivos ou contas de usuário, são extraídos e representados como entidades. As entidades são objetos persistentes na plataforma. Eles coletam dados de enriquecimento, comentários de analistas e contexto histórico, permitindo que os analistas acompanhem o comportamento das entidades ao longo do tempo e em diferentes casos. As entidades também aparecem na tela visual para ajudar a ilustrar as relações no cenário de ameaças.

Criação e agrupamento de casos

Na página Casos, os analistas podem investigar alertas recebidos e gerenciar fluxos de trabalho de incidentes. Também é possível agrupar automaticamente outros alertas em casos atuais com base em entidades compartilhadas e regras configuráveis. Os analistas também podem:

Agrupar automaticamente outros alertas em casos existentes com base em entidades compartilhadas e regras configuráveis.
Crie casos manualmente ou simule casos para fins de teste e treinamento.

Cabeçalho e visualizações da fila de casos

Todos os casos ativos de vários conectores aparecem na fila de casos. Cada entrada de caso mostra metadados importantes, como:

Nome do caso e ID exclusivo
Carimbo de data/hora do caso
Número de alertas associados
Analista atribuído (com avatar)
Prioridade e estágio do caso (opcional, dependendo da visualização)

Os analistas podem alternar entre estas visualizações:

Visualização padrão: mostra cards de caso com informações essenciais.
Visualização compacta: reduz a pegada visual para uma leitura mais rápida.
Visualização em lista: mostra todos os casos em formato de tabela para operações em massa ou filtragem.

Barra superior do caso

A barra superior do caso mostra o contexto no nível do caso e as ações disponíveis, da seguinte forma:

O cabeçalho da fila de casos mostra o título, o ID, a prioridade, a etapa, o carimbo de data/hora, o ambiente de mudança e as tags.
Ele também mostra o analista atribuído (nome ou função) e inclui controles para Chat, Encerrar caso, Atualizar, Analisar e o menu Ações do caso.

Para mais detalhes, consulte O que há na página "Casos"?

Guia "Caso"

Cada caso inclui várias guias que ajudam os analistas a revisar, investigar e agir com base nos dados do caso. Essas guias organizam informações importantes, desde resumos de alto nível até registros detalhados e dados de alertas, em um formato consistente e fácil de navegar.

Guia "Visão geral do caso"

A guia Visão geral do caso mostra widgets específicos do caso configurados pelo administrador. Para mais detalhes, consulte Conhecer a guia "Visão geral do caso".

Guia "Painel de casos"

A guia Mural de casos mostra um registro cronológico de todos os eventos e ações relacionados a casos, desde a criação até o encerramento. Ao abrir essa guia, você pode ver informações relacionadas ao caso, como tarefas, comentários do usuário, mensagens fixadas no chat, ações manuais e do sistema e anexos de arquivos (até 50 MB por arquivo). Cada tipo de conteúdo é representado por um ícone na seção superior do Case Wall.

Ações que você pode realizar com essa guia:

Clique em Ver mais para mostrar os resultados da UI padrão e os dados JSON correspondentes.
Para ver os detalhes de um evento, clique em um ou mais ícones de evento.
Use o ao lado dos ícones para selecionar um alerta específico.
Para ver eventos de todos os alertas no caso, selecione Todos os alertas.

Ícone	Descrição
	Mostra as ações realizadas em alertas em uma tabela, incluindo o nome da ação, o carimbo de data/hora, o nome do alerta, o resultado e o status (Concluído ou Com falha). Clique em Mostrar mais para expandir os resultados, parâmetros e entidades afetadas. Clique em Mostrar menos para recolher a visualização.
	Mostra todas as mudanças de status de caso geradas pelo sistema e pelo usuário, como atualizações no título, estágio, prioridade, atribuição e encerramento.
	Mostra a atividade relacionada a tarefas. Quando uma tarefa for concluída, clique em Concluir tarefa. O status muda para Concluído, junto com um carimbo de data/hora e seus comentários.
	Mostra comentários adicionados manualmente ou pela ação Comentário do caso.
	Mostra as mensagens fixadas na caixa de diálogo Mensagem instantânea.
	Mostra os itens marcados como favoritos no Painel de Casos ao clicar no ícone de estrela amarela.
	Ordena os registros de eventos por carimbo de data/hora, do mais recente para o mais antigo ou do mais antigo para o mais recente.
	Mostra insights e avisos gerais sobre o caso e as entidades associadas.

Para mais detalhes, consulte O que há na guia "Mural de casos"?

Guia Visão geral dos alertas: lista todos os alertas vinculados ao caso, incluindo eventos e metadados associados. Essa guia mostra informações e eventos importantes associados ao caso.
A fila de casos, atualizada automaticamente a cada minuto, lista todos os casos ativos e permite atualizar, classificar, filtrar, adicionar ou fechar casos manualmente conforme necessário.

Automação de playbook

Os playbooks são conjuntos predefinidos de ações que coletam informações de fontes de alerta internas e externas. Em seguida, eles tomam decisões sobre como processar esses alertas ou realizar operações em sistemas remotos, como bloquear uma porta de firewall ou desativar um usuário do Active Directory. O Google SecOps realiza essas ações de forma automática ou semiautomática com base nos gatilhos do playbook em qualquer ingestão de alertas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.