管理案件和快訊中的標記
支援的國家/地區:
Google SecOps
SOAR
本文說明如何在 Google Security Operations 案件中管理標記。
標記可協助分類及整理案件,方便篩選及分析。系統可根據預先定義的規則自動指派,也可以從案件和快訊檢視畫面手動新增。雖然可以從個別案件中移除標籤,但除非管理員從「案件資料」>「標籤」設定的表格中移除標籤,否則標籤本身仍會保留在系統的自動完成清單中。
您可能也想匯入標記,例如從測試環境遷移至正式環境,或是為了備份。詳情請參閱「匯入代碼」。
管理案件和快訊中的標記
標記可協助你追蹤及分類案件。您可以依標記搜尋案件,快速找出所需案件。
您可以在下列位置管理代碼:
- 案件或快訊:手動新增及移除特定案件或個別快訊的標記。
- 主選單:依序點選「設定」>「案件資料」>「標記」。 詳情請參閱「建立自動標記規則」。
- 應對手冊:使用代碼觸發條件,根據代碼名稱觸發應對手冊。 您也可以在劇本區塊中新增案件標記:選取劇本區塊,按一下「開啟步驟選取」,然後在「觸發條件」分頁中選取「標記名稱」。
為案件新增標記
如要為案件新增標記,請按照下列步驟操作:
- 前往「案件」頁面,然後選取要加上標籤的案件。
- 按一下「銷售」 管理代碼。
- 在「管理標記」對話方塊中,輸入標記名稱並按下 Enter 鍵,或從清單中選取標記並按一下「新增」。
為快訊新增標記
如要為快訊新增標記,請按照下列步驟操作:
- 前往「案件」頁面,然後選取案件。
- 選取要加上標籤的快訊。
- 依序按一下 more_vert 「快訊選項」和「管理標記」。
- 在「管理標記」對話方塊中,輸入標記名稱並按下 Enter 鍵,或從清單中選取標記並按一下「新增」。
案件變更時的警示標記行為
在案件管理動作期間,手動指派的快訊層級標記仍會附加至特定快訊:
- 移動快訊:如果將快訊移至其他案件,手動指派給該快訊的所有標記都會一併移動。
- 合併案件:合併案件後,合併案件中的個別警示會保留手動指派的警示層級標記。
設定代碼
匯入代碼
如要匯入代碼,請按照下列步驟操作:
- 依序前往「SOAR 設定」>「案件資料」>「標記」。
- 按一下 vertical_align_bottom 「下載範本」。CSV 檔案會顯示必要的代碼匯入結構。
- 輸入代碼資訊。
- 按一下「登入」 匯入。匯入的代碼應會顯示在平台中。
從自動完成功能中移除標記
如要避免自動完成建議顯示標記,請從案件資料設定的「標記」表格中移除標記。
- 依序前往「SOAR Settings」>「Case Data」>「Tags」。
- 在表格中找到標記,然後依序點選「刪除」「刪除」。
建立自動標記規則
如要建立規則,根據特定條件自動將標記指派給傳入的快訊,請按照下列步驟操作:
- 依序前往「SOAR 設定」>「案件資料」>「標記」。
- 按一下「新增」 「新增代碼」。
- 在「代碼名稱」欄位中,輸入代碼名稱。
- 從「實體」、「產品」、「規則產生器」和「供應商」中選取比對來源。
- 從選單中選擇限定符,定義值的比對方式:
- 包含
- exact
- 開頭為
- 結尾為
- 選取特定實體或產品來源。視需要輸入適當的「屬性」和「值」。你也可以選取「產品」、「規則產生器」或「供應商」。
- 選取代碼的優先順序。
注意:Google SecOps 會合併優先順序與其他快訊、實體和事件,因此這裡的優先順序並非絕對值。 - 選用:如要,請選取「可以是案件名稱」。選取這個選項後,如果標記符合條件,系統就會將其指派為案件標題。
- 按一下 [儲存]。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。