案例概览
Google Security Operations 可从各种来源接收提醒。每个提醒都包含其底层安全事件和关键指标(例如来源、目的地、工件),这些事件和指标会经过解析和分析。在此分析过程中,系统会提取来源 IP 和目标 IP、文件哈希或用户账号等关键指标,并将其表示为实体。 实体是平台中的持久性对象。它们会收集丰富数据、分析师评论和历史背景信息,让分析师能够跟踪实体在不同时间和不同案例中的行为。实体也会显示在可视化画布上,以帮助说明威胁态势中的关系。
创建支持请求和分组
在支持请求页面上,分析人员可以调查收到的提醒并管理突发事件工作流程。您还可以根据共享实体和可配置的规则,自动将其他提醒分组到现有支持请求中。分析人员还可以:
- 根据共享实体和可配置的规则,自动将其他提醒分组到现有案例中。
- 手动创建或模拟用于测试和训练的支持请求。
支持请求队列标题和视图
来自各种连接器的所有有效支持请求都会显示在支持请求队列中。每个支持请求条目都会显示关键元数据,例如:
- 支持请求名称和唯一 ID
- 支持请求时间戳
- 关联的提醒数量
- 已分配的分析师(带有头像)
- 支持请求优先级和阶段(可选,具体取决于视图)
分析师可以在以下视图之间切换:
- 默认视图:显示包含基本信息的支持请求卡片。
- 紧凑视图:减少视觉占用空间,以便更快地浏览。
- 列表视图:以表格格式显示所有支持批量操作或过滤的支持请求。
支持请求顶栏
支持请求顶部栏会显示支持请求级上下文和可用操作,如下所示:
如需了解详情,请参阅“案例”页面上显示哪些内容?
“支持请求”标签页
每个支持请求都包含多个标签页,可帮助分析师查看、调查支持请求数据并采取相应行动。这些标签页以一致且易于浏览的格式整理了关键信息,包括概要总结、详细日志和提醒数据。
“支持请求概览”标签页
案例概览标签页会显示管理员配置的特定于案例的小部件。如需了解详情,请参阅探索“支持请求概览”标签页。
“案例墙”标签页
支持请求墙标签页会按时间顺序显示与支持请求相关的所有事件和操作的日志,从创建到关闭。打开此标签页后,您可以查看与支持请求相关的信息,例如任务、用户评论、已固定的聊天消息、手动和系统操作,以及文件附件(每个文件的大小上限为 50 MB)。 每种类型的内容都由支持请求墙上部的一个图标表示。
您可以在此标签页中执行的操作:
- 点击查看更多,即可同时显示标准界面结果和相应的 JSON 数据。
- 如需查看活动详情,请点击一个或多个活动图标。
- 使用图标旁边的箭头选择特定提醒。
- 如需查看相应支持服务请求中所有提醒的事件,请选择所有提醒。
- 提醒概览标签页:列出与相应支持请求关联的所有提醒,包括相关联的事件和元数据。 此标签页会显示与支持请求相关的重要信息和事件。
- 支持请求队列(每分钟自动刷新一次)会列出所有有效支持请求,并允许您根据需要手动刷新、排序、过滤、添加或关闭支持请求。
| Icon | 说明 |
|---|---|
|
以表格形式显示对提醒采取的操作,包括操作名称、时间戳、提醒名称、结果和状态(已完成或出错)。 点击显示更多可展开结果、参数和受影响的实体。点击收起即可收起视图。 |
|
显示所有系统和用户生成的支持请求状态更改,例如标题、阶段、优先级、分配和关闭方面的更新。 |
|
显示与任务相关的活动。任务完成后,点击完成任务。状态会更新为已完成,并显示时间戳和您的评论。 |
|
显示手动添加或通过案例备注操作添加的备注。 |
|
显示即时通讯对话框中的已置顶消息。 |
|
点击黄色星形图标,即可显示在案例墙中标记为收藏的内容。 |
|
按时间戳对事件日志进行排序,可按从新到旧或从旧到新的顺序排序。 |
|
显示有关支持请求和关联实体的一般数据分析和警告。 |
如需了解详情,请参阅“支持请求墙”标签页中显示的内容。
Playbook 自动化
剧本是预定义的一组操作,用于从内部和外部提醒来源收集信息。然后,他们会决定如何处理这些提醒或对远程系统执行操作,例如阻止防火墙端口或停用 Active Directory 用户。 Google SecOps 会根据任何提醒接收时的 playbook 触发器自动或半自动执行这些操作。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。