Administra etiquetas en casos y alertas

Compatible con:

En este documento, se explica cómo administrar etiquetas en los casos de Google Security Operations.

Las etiquetas ayudan a clasificar y organizar los casos para facilitar el filtrado y el análisis. Se pueden asignar automáticamente según reglas predefinidas o agregarse manualmente desde las vistas de casos y alertas.

Si bien puedes quitar etiquetas de casos individuales, las etiquetas en sí seguirán disponibles en la lista de autocompletado del sistema, a menos que un administrador las quite de la tabla en la configuración de Datos del caso > Etiquetas.

También puedes importar etiquetas, por ejemplo, cuando migras de un entorno de pruebas a uno de producción o con fines de copia de seguridad. Para obtener más información, consulta Importa etiquetas.

Administra etiquetas en casos y alertas

Las etiquetas te ayudan a hacer un seguimiento de tus casos y categorizarlos. Puedes identificar rápidamente los casos buscándolos por sus etiquetas.

Puedes administrar las etiquetas desde los siguientes lugares:

  • Caso o alerta: Agrega y quita etiquetas de forma manual de un caso específico o de una alerta individual.
  • Menú principal: Haz clic en Configuración > Datos del caso > Etiquetas. Para obtener más información, consulta Cómo crear una regla de etiquetado automático.
  • Playbooks: Activa un playbook en un nombre de etiqueta con el activador de etiquetas. También puedes agregar una etiqueta de caso a un bloque del playbook: selecciona un bloque del playbook, haz clic en Abrir selección de pasos y, en la pestaña Activadores, selecciona Nombre de la etiqueta.

Agrega una etiqueta a un caso

 Para agregar una etiqueta a un caso, sigue estos pasos:

  1. Ve a la página Casos y selecciona el caso que deseas etiquetar.
  2. Haz clic en sell Administrar etiquetas.
  3. En el diálogo Administrar etiquetas, ingresa el nombre de la etiqueta y presiona Intro, o bien selecciona una etiqueta de la lista y haz clic en Agregar.

Agrega una etiqueta a una alerta

Para agregar una etiqueta a una alerta, sigue estos pasos:

  1. Ve a la página Casos y selecciona uno.
  2. Selecciona la alerta que deseas etiquetar.
  3. Haz clic en more_vert Opciones de alerta y, luego, selecciona Administrar etiquetas.
  4. En el diálogo Administrar etiquetas, ingresa el nombre de la etiqueta y presiona Intro, o bien selecciona una etiqueta de la lista y haz clic en Agregar.

Comportamiento de las etiquetas de alerta durante los cambios de caso

Las etiquetas de nivel de alerta asignadas manualmente permanecen adjuntas a la alerta específica durante las acciones de administración de casos:

  • Transferencia de alertas: Si transfieres una alerta a un caso diferente, las etiquetas asignadas manualmente a esa alerta se transferirán con ella.
  • Combinación de casos: Cuando se combinan casos, las alertas individuales dentro del caso consolidado conservan las etiquetas a nivel de alerta asignadas manualmente.

Configura los parámetros de la etiqueta

Importar etiquetas

Para importar una etiqueta, sigue estos pasos:

  1. Ve a Configuración de SOAR > Datos del caso > Etiquetas.
  2. Haz clic en vertical_align_bottom Descargar plantilla. El archivo CSV muestra la estructura de importación de etiquetas requerida.
  3. Ingresa la información de la etiqueta.
  4. Haz clic en Acceder Importar. Las etiquetas importadas deberían aparecer en la plataforma.

Cómo quitar una etiqueta del autocompletado

Para evitar que una etiqueta aparezca en las sugerencias de autocompletado, debes quitarla de la tabla Tag en la configuración de Case Data.

  1. Ve a Configuración de SOAR > Datos del caso > Etiquetas.
  2. Ubica la etiqueta en la tabla y haz clic en borrar Borrar.

Crea una regla de etiquetado automático

Para crear una regla que asigne automáticamente etiquetas a las alertas entrantes según condiciones específicas, sigue estos pasos:

  1. Ve a Configuración de SOAR > Datos del caso > Etiquetas.
  2. Haz clic en add Agregar etiqueta.
  3. En el campo Nombre de la etiqueta, ingresa un nombre para la etiqueta.
  4. Selecciona una fuente de coincidencias en Entidades, Producto, Generador de reglas y Proveedor.
  5. En el menú, elige un calificador que defina cómo se debe hacer la coincidencia del valor:
    • contiene
    • exact
    • comienza con
    • Termina con
  6. Selecciona la entidad o la fuente de productos específica. Ingresa la Propiedad y el Valor correspondientes, si corresponde. También puedes seleccionar Producto, Generador de reglas o Proveedor.
  7. Selecciona la prioridad de la etiqueta.
    Nota: Google SecOps combina la prioridad con otras alertas, entidades y eventos, por lo que la prioridad aquí no es absoluta.
  8. Opcional: Selecciona Puede ser el nombre de un caso si es necesario. Cuando se selecciona, la etiqueta se asigna como el título del caso si cumple con las condiciones.
  9. Haz clic en Guardar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.