對案件採取行動

支援的國家/地區:

本文將說明您可以對案件執行的各種動作,包括更新案件狀態或優先順序、管理相關快訊、產生報表,以及執行個別或大量動作,簡化案件處理程序。

將案件標示為重要

如要醒目顯示案件,可以將其標示為重要案件。你也可以在同一個選單中移除「重要」標記。

如要將案件標示為重要案件,請按照下列步驟操作:

  • 按一下「案件動作」 format_list_bulleted ,選取要標記的案件,然後選取「標示為重要」;案件會顯示黃色 arrow_drop_up

將案件標示為事件

如果獲派的案件緊急且需要立即採取行動,請將案件標示為「事件」。這項功能會自動執行下列操作:

  • 將案件優先順序設為「重大」
  • 將案件階段變更為「事件」
  • 將案件指派給 SOC 經理
  • 傳送通知給所有分析師

如要將案件標示為事件,請按照下列步驟操作:

  1. 在「案件」頁面中,前往相關案件。
  2. 按一下「format_list_bulleted」 「案件動作」,然後選取「事件」
  3. 在「Confirmation」對話方塊中,按一下「Yes」。頁面會重新整理,新的事件會顯示在案件清單中,並附上事件圖示和紅色重大側邊欄。系統會自動將案件指派給具有 SOC 管理員角色的使用者。

變更案件階段

如果系統指派案件給您,可以根據團隊的工作流程更新案件階段。 

如要變更案件階段,請按照下列步驟操作:

  1. 從佇列選取案件。
  2. 按一下「案件動作」 ,然後選取「階段」
  3. 選取下列其中一個階段:
    • 分流:案件建立時的初始階段。這是預設值。
    • 評估:案件已提報至下一個層級進行評估。
    • 調查:系統會指派專員,針對快訊和實體展開調查。 
    • 改善:系統會標記案件,以利修正 SOC 偵測規則或進行後續審查。 
    • 研究:指派案件進行深入調查,瞭解外部存取或威脅行為對貴機構的影響。
    • 事件:重大事件的最終案件階段。選取「事件」後即無法變更。
  4. 按一下 [儲存]

變更案件優先順序

如要變更案件優先順序,請按照下列步驟操作:

  1. 從佇列選取案件。
  2. 按一下「案件動作」 format_list_bulleted ,然後選取「優先順序」
  3. 選擇下列其中一個等級,每個等級都有對應的案件顏色指標:
    • 獲得了實用的資訊 (灰色)
    • (藍色)
    • (黃色)
    • (橘色)
    • 重大 (紅色)
  4. 按一下 [確定]。案件優先順序已變更。
  5. 選用:按一下色票即可變更案件列顏色。

下載案件報告

您可以下載 DOC、XLSX 或 CSV 格式的案件報告。報表包含下列詳細資料:

  • 案件詳細資料
  • 快訊、實體和洞察資料
  • 使用者和系統活動
  • 應對手冊動作和案件活動
  • 案件總覽中的所有項目

如要下載報表,請按照下列步驟操作:

  1. 從佇列選取案件。
  2. 依序點按「format_list_bulleted」 「案件動作」和「報表」
  3. 在「選取報表類型」對話方塊中,選取檔案類型,然後按一下「選取」
  4. 開啟下載的檔案即可查看報表。

管理案件中的警告

如要管理案件中的特定快訊,請按照下列步驟操作:

  1. 依序點選「快訊選項」選單「案件」頁面 >「快訊」分頁標籤,然後按一下「更多」圖示 more_vert「快訊選項」
  2. 選取其中一個可用選項:
    • 探索快訊:如要進一步瞭解「快訊結果」頁面,請按一下「調查快訊」
    • 擷取警告做為測試案件:按一下「擷取警告做為測試案件」,即可在系統中新增測試案件。系統會將其標示為「測試案例」,系統會從資訊主頁和報表排除已擷取的快訊,且不會與其他快訊分組。
    • 變更優先順序:建議您變更快訊優先順序,而非案件優先順序。變更快訊優先順序不會影響案件優先順序。詳情請參閱「改為變更快訊優先順序,而非案件優先順序」。
    • 移動快訊:如果獲派的案件有多則快訊,您可以將快訊移至新案件將快訊移至現有案件。如果選取「將警告移至現有案件」,請從選單中選擇目標案件,然後按一下「移動」
    • 管理警告偵測規則:僅適用於 Google Security Operations 使用者。
      • 如果規則是預先定義的 Google SecOps 規則,系統會將您重新導向至「規則偵測」頁面。詳情請參閱「在規則偵測檢視畫面中篩選資料」。
      • 如果規則是顧客規則,系統會將您重新導向至「規則編輯器」頁面。詳情請參閱「使用規則編輯器管理規則」。
      • 關閉快訊:關閉案件中的快訊。從「原因」、「根本原因」或「實用性」欄位選取值。
        • 「實用性」欄位只會顯示給 Google SecOps 使用者,可協助規則分析師根據客戶輸入內容,取得更精確的快訊規則意見回饋。
        • 案件中已結案的快訊會顯示為無法使用,並顯示「已結案」標記。只有在案件中還有其他快訊,且該案件已指派給您時,您才能關閉快訊。
      • 新增實體:手動將現有或新的實體新增至快訊。

在案件中執行手動動作

從 Google Security Operations Marketplace 安裝對應的整合項目後,即可使用手動動作和劇本動作。

如要在案件中手動執行動作,請按照下列步驟操作:

  1. 在選取的案件中,按一下 manualactionicon「手動操作」
  2. 在「手動操作」對話方塊中,選取所需動作。舉例來說,依序選取「VirusTotalV3」>「Enrich URL」。輸入必要資訊。
  3. 選取動作應套用的快訊和實體。
  4. 按一下「執行」,即可在案件牆上顯示動作詳細資料。

在 Google SecOps 中模擬案件

您可以模擬案件,其中會填入系統產生的預設快訊。模擬案件適用於預先發布環境或示範。

您也可以建立自訂案件,或使用副檔名為 `.CASE` 的檔案,以 JSON 格式匯入現有案件。

如要模擬案件,請按照下列步驟操作:

  1. 在「案件佇列」標題中,按一下 「新增案件」,然後選取「模擬案件」
  2. 在「模擬案件」對話方塊中,從清單選取案件。
  3. 按一下 [Create] (建立)

新建客服案件

如要建立新的模擬案件,請按照下列步驟操作:

  1. 在「模擬案件」對話方塊中,按一下 「新增或匯入案件」,然後按一下「新增案件」
  2. 在「Add New Case」(新增案件) 對話方塊中,輸入「Source/SIEM Name」(來源/SIEM 名稱)、「Rule Name」(規則名稱) (規則產生器)、「Alert Product」(快訊產品)、「Alert Name」(快訊名稱)、「Event Name」(事件名稱)
  3. 你也可以選擇提供下列資訊:
    • 其他警告欄位
    • 其他事件欄位
  4. 按一下 [儲存]。案件會顯示在「模擬案件」清單中。
  5. 選取新建立的案件,然後按一下「建立」
  6. 選取目標環境,然後按一下「模擬」。新案件會顯示在佇列中。

將案件匯出為 JSON 檔案

如要將案件匯入 JSON 檔案,請按照下列步驟操作:

  1. 在「Simulate Cases」對話方塊中,按一下「Add or import case」,然後按一下「Import Case」
  2. 選取所需案件,然後按一下「開啟」。案件會以 JSON 格式匯入。

對多個案件執行批次動作

您可以在「搜尋」頁面上,對多個案件執行批次動作。

可用的批次動作包括:

  • 匯出為 CSV 檔案:以 CSV 格式下載所選案件及其相關中繼資料的清單,供離線審查或製作報表。
  • 結案:你可以使用各種介面選項結案,包括案件詳細資料頁面、案件佇列 (並排和清單檢視畫面) 和「搜尋」頁面。案件解決後,即可結案。
  • 重新開啟案件:重新開啟先前關閉的案件,繼續調查或採取後續行動。
  • 變更優先順序:更新所選案件的優先順序等級 (低、中、高或緊急),以反映緊急程度或嚴重性。
  • 指派案件:將案件指派給特定使用者或群組,以進行深入調查。
  • 新增標記:將一或多個標記套用至所選案件,以支援篩選、分類或自動化規則。
  • 合併案件:將多個相關案件合併為單一案件,減少重複作業並集中調查。
  • 變更階段:更新所選案件的階段,反映案件進度或狀態。

如要執行批次動作,請按照下列步驟操作:

  1. 前往「調查」,然後按一下「SOAR 搜尋」
  2. 選取相關案件的時間範圍。
  3. 使用所需篩選器選取案件。
  4. 勾選核取方塊來套用相關篩選器 > 點按「套用」
  5. 在「結果」清單中,選取要修改的案件核取方塊。
  6. 從「搜尋結果」選單中選取動作。

快速操作

您可以使用「快速操作」小工具定義可重複使用的動作,並直接從案件和快訊執行這些動作。您可以將這個小工具新增至預設案件檢視畫面、預設快訊檢視畫面,以及應對手冊中的自訂快訊檢視畫面。

您可以選擇是否要定義快速操作的參數。如果系統提供建議,您可以在執行前查看及修改。如果留空,則必須在執行階段填入參數。

如果設定快速操作後移除了整合服務,系統會隱藏對應的「快速操作」按鈕,並在設定檢視畫面中標示小工具,指出缺少整合服務。

如需設定操作說明,請參閱下列文章:

用途:設定快速動作,調查惡意檔案

這個用途說明如何建立快速動作,協助調查案件中可能含有惡意內容的檔案。

新增「快速操作」小工具

  1. 依序前往「SOAR 設定」>「案件資料」>「檢視畫面」
  2. 選取「預設案件檢視畫面」
  3. 選取「一般」分頁標籤。
  4. 將「快速操作」小工具拖曳到「預設案件檢視畫面」

設定小工具

  1. 依序點按「設定」和「設定」
  2. 在「快速操作」側邊抽屜中,輸入 File Investigation 做為小工具標題。
  3. 輸入小工具說明,例如 Quickly scan file hashes.
  4. 選用:選擇小工具寬度。
  5. 按一下 [進階設定]
  6. 在「條件」部分,定義顯示小工具的條件。如要只在案件標記 malicious-file 時顯示小工具,請使用「Case.Tags 包含 malicious-file」條件。

新增「掃描雜湊」按鈕

  1. 在「文字」中,您可以直接在小工具內提供指令或背景資訊。在這個用途中,請新增下列文字:Use the 'Scan Hash' button to check suspicious files.
  2. 在「按鈕」中,按一下「+ 新增按鈕」,建立新的快速動作。最多可新增六個按鈕,每個按鈕對應一個不同的快速動作。
  3. 在隨即顯示的「新增按鈕」對話方塊中,設定快速動作「掃描雜湊」
    • 名稱:掃描雜湊
    • 按鈕顏色:選擇顏色。
    • 動作:從「動作」清單的 VirusTotal 部分選取「掃描雜湊」
    • 選用:選擇 VirusTotal 的相關執行個體
    • 選用:在「參數」中定義「雜湊」 參數:
      雜湊: [Case.FileHash]
  4. 在「新增按鈕」對話方塊中,按一下「關閉」
  5. 在「快速動作」側邊抽屜中,按一下「儲存」

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。