ケースとアラートのタグを管理する

以下でサポートされています。

このドキュメントでは、Google Security Operations のケースでタグを管理する方法について説明します。

タグは、ケースを分類して整理し、フィルタリングや分析を容易にするのに役立ちます。事前定義されたルールに基づいて自動的に割り当てることも、ケースビューとアラートビューから手動で追加することもできます。

個々のケースからタグを削除することはできますが、管理者が [ケースデータ] > [タグ] の設定でテーブルからタグを削除しない限り、タグ自体はシステムのオートコンプリート リストに表示されます。

タグをインポートすることもできます。たとえば、ステージング環境から本番環境に移行する場合や、バックアップ目的でタグをインポートすることがあります。詳細については、タグをインポートするをご覧ください。

ケースとアラートのタグを管理する

タグは、ケースの追跡と分類に役立ちます。タグで検索すると、ケースをすばやく特定できます。

タグは次の場所で管理できます。

  • ケースまたはアラート: 特定のケースまたは個々のアラートに対して、タグを手動で追加または削除します。
  • メインメニュー: [設定> ケースデータ > タグ] をクリックします。 詳しくは、自動タグ設定ルールを作成するをご覧ください。
  • Playbooks: タグ トリガーを使用して、タグ名で Playbook をトリガーします。ケースタグをハンドブック ブロックに追加することもできます。ハンドブック ブロックを選択し、[ステップの選択を開く] をクリックして、[トリガー] タブで [タグ名] を選択します。

ケースにタグを追加する

ケースにタグを追加する手順は次のとおりです。

  1. [Cases](ケース)ページに移動し、タグ付けするケースを選択します。
  2. [ 販売 ] [タグを管理] をクリックします。
  3. [タグの管理] ダイアログで、タグの名前を入力して Enter キーを押すか、リストからタグを選択して [追加] をクリックします。

アラートにタグを追加する

アラートにタグを追加する手順は次のとおりです。

  1. [ケース] ページに移動し、ケースを選択します。
  2. タグ付けするアラートを選択します。
  3. more_vert [アラート オプション] をクリックし、[タグを管理] を選択します。
  4. [タグの管理] ダイアログで、タグの名前を入力して Enter キーを押すか、リストからタグを選択して [追加] をクリックします。

ケースの変更時のアラートタグの動作

ケース管理アクション中、手動で割り当てられたアラートレベルのタグは特定のアラートに引き続き関連付けられます。

  • アラートの移動: アラートを別のケースに移動すると、そのアラートに手動で割り当てられたタグも一緒に移動します。
  • ケースの統合: ケースが統合されると、統合されたケース内の個々のアラートは、手動で割り当てられたアラートレベルのタグを保持します。

タグ設定を行う

タグをインポートする

タグをインポートする手順は次のとおりです。

  1. [SOAR Settings] > [Case Data] > [Tags] に移動します。
  2. vertical_align_bottom [テンプレートをダウンロード] をクリックします。CSV ファイルには、必要なタグのインポート構造が示されています。
  3. タグ情報を入力します。
  4. [ ログイン ] [インポート] をクリックします。インポートしたタグがプラットフォームに表示されます。

オートコンプリートからタグを削除する

タグが予測入力候補に表示されないようにするには、[ケースデータ] 設定の [タグ] テーブルからタグを削除する必要があります。

  1. [SOAR Settings] > [Case Data] > [Tags] に移動します。
  2. テーブルでタグを見つけて、[削除] [削除] をクリックします。

自動タグ付けルールを作成する

特定の条件に基づいて受信アラートにタグを自動的に割り当てるルールを作成する手順は次のとおりです。

  1. [SOAR Settings] > [Case Data] > [Tags] に移動します。
  2. [ 追加 ] [タグを追加] をクリックします。
  3. [タグ名] フィールドに、タグの名前を入力します。
  4. [Entities]、[Product]、[Rule Generator]、[Vendor] から一致ソースを選択します。
  5. メニューから、値の一致方法を定義する修飾子を選択します。
    • contains
    • exact
    • starts with
    • ends with
  6. 特定のエンティティまたは商品ソースを選択します。必要に応じて、適切な [Property](プロパティ)と [Value](値)を入力します。または、[商品]、[ルール生成ツール]、[ベンダー] を選択します。
  7. タグの優先度を選択します。
    注: Google SecOps は、優先度を他のアラート、エンティティ、イベントと統合するため、ここで示される優先度は絶対的なものではありません。
  8. 省略可: 必要に応じて、[ケース名にすることができる] を選択します。これを選択すると、条件を満たす場合にタグがケースのタイトルとして割り当てられます。
  9. [保存] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。