案件總覽

Google Security Operations 會從各種來源擷取快訊，每則警示都包含經過剖析和分析的基礎安全性事件和重要指標 (例如來源、目的地、構件)。在分析期間，系統會擷取來源和目的地 IP、檔案雜湊或使用者帳戶等重要指標，並以實體形式呈現。實體是平台中的持續性物件。這類解決方案會收集擴充資料、分析師註解和歷史背景資訊，讓分析師追蹤實體在不同時間和案件中的行為。實體也會顯示在視覺化畫布上，協助說明威脅情勢中的關係。

建立及分組案件

分析人員可以在「案件」頁面調查收到的快訊，並管理事件工作流程。您也可以根據共用實體和可設定的規則，自動將其他快訊歸類至現有案件。分析人員也可以：

• 根據共用實體和可設定的規則，自動將其他快訊歸類至現有案件。
• 手動建立或模擬案件，用於測試和訓練。

案件佇列標題和檢視畫面

案件佇列會顯示來自各種連結器的所有有效案件。每個案件項目都會顯示重要中繼資料，例如：

• 案件名稱和專屬 ID
• 案件時間戳記
• 相關快訊數量
• 指派的分析師 (附顯示圖片)
• 案件優先順序和階段 (視檢視畫面而定，可省略)

分析師可以在下列檢視畫面之間切換：

• 預設檢視畫面：顯示含有重要資訊的案件資訊卡。
• 密集檢視：減少視覺足跡，加快掃描速度。
• 清單檢視：以表格格式顯示所有案件，方便進行大量操作或篩選。

案件頂端列

案件頂端列會顯示案件層級的脈絡和可用動作，如下所示：

• 案件佇列標題會顯示案件標題、ID、優先順序、階段、時間戳記、變更環境和標記。
• 此外，還會顯示指派的分析師 (名稱或角色)，並提供「即時通訊」、「結案」、「重新整理」、「探索」和「案件動作」選單的控制項。

詳情請參閱「案件頁面顯示哪些資訊？」一文。

「案件」分頁

每個案件都包含多個分頁，可協助分析師查看、調查及處理案件資料。這些分頁會將重要資訊 (從高階摘要到詳細記錄和快訊資料) 整理成一致且可瀏覽的格式。

案件總覽分頁

「案件總覽」分頁會顯示管理員設定的案件專屬小工具。詳情請參閱「如何探索案件總覽分頁？」。

「案件總覽」分頁

「案件牆」分頁會依時間順序顯示所有與案件相關的事件和動作記錄，從建立到結案都有。開啟這個分頁後，即可查看案件相關資訊，例如工作、使用者留言、已釘選的即時通訊訊息、手動和系統動作，以及檔案附件 (每個檔案大小上限為 50 MB)。案件牆的上半部會顯示圖示，代表每種內容類型。

這個分頁的用途如下：

• 按一下「查看更多」，即可顯示標準 UI 結果和對應的 JSON 資料。
• 如要查看活動詳細資料，請按一下一或多個活動圖示。
• 使用圖示旁的選取器選取特定快訊。
• 如要查看案件中所有快訊的事件，請選取「所有快訊」。

圖示	說明
	以表格形式顯示對快訊執行的動作，包括動作名稱、時間戳記、快訊名稱、結果和狀態 (「已完成」或「發生錯誤」)。 按一下「顯示更多」，即可展開結果、參數和受影響的實體。按一下「減少顯示」即可收合檢視畫面。
	顯示系統和使用者產生的所有案件狀態變更，例如更新標題、階段、優先順序、指派對象和結案。
	顯示與工作相關的活動。完成工作後，請按一下「完成工作」。狀態會更新為「已完成」，並顯示時間戳記和您的留言。
	顯示手動新增的註解，或透過「案件註解」動作新增的註解。
	顯示「即時訊息」對話方塊中的置頂訊息。
	按一下黃色星號圖示，即可在案件總覽中顯示標示為「我的最愛」的項目。
	依時間戳記排序事件記錄，可選擇由新到舊或由舊到新。
	顯示案件和相關實體的一般深入分析資料和警告。

詳情請參閱「案件牆分頁中顯示哪些內容？」一文。

• 「快訊總覽」分頁：列出與案件相關的所有快訊，包括相關聯的事件和中繼資料。 這個分頁會顯示與案件相關的重要資訊和事件。
• 案件佇列每分鐘會自動重新整理，列出所有進行中的案件，並讓您視需要手動重新整理、排序、篩選、新增或結案。

應對手冊自動化

劇本是預先定義的一組動作，可從內部和外部快訊來源收集資訊。然後決定如何處理這些快訊，或對遠端系統執行作業，例如封鎖防火牆連接埠或停用 Active Directory 使用者。Google SecOps 會根據任何快訊擷取作業的應對手冊觸發條件，自動或半自動執行這些動作。