Tome medidas num registo

Compatível com:

Este documento descreve as várias ações que pode realizar num registo, incluindo a atualização do respetivo estado ou prioridade, a gestão de alertas associados, a geração de relatórios e a realização de ações individuais ou em massa para simplificar o processamento de registos.

Marque um registo como importante

Quando quiser realçar um registo, pode marcá-lo como importante. Também pode remover a etiqueta Importante no mesmo menu.

Para marcar um registo como importante, siga estes passos:

  • Clique em format_list_bulleted Ações do registo, selecione um registo para etiquetar e selecione Marcar como importante; é apresentada uma arrow_drop_up amarela junto ao registo.

Marque um registo como um incidente

Se um registo que lhe foi atribuído for urgente e exigir ação imediata, marque-o como um Incidente. Isto faz o seguinte automaticamente:

  • Define a prioridade do registo como Crítica
  • Altera a fase do registo para Incidente
  • Atribui o registo ao gestor do SOC
  • Envia uma notificação a todos os analistas

Para marcar um registo como um incidente, siga estes passos:

  1. Na página Registos, aceda ao registo relevante.
  2. Clique em format_list_bulleted Ações do registo e selecione Incidente.
  3. Na caixa de diálogo Confirmação, clique em Sim. A página é atualizada e o novo incidente aparece na lista de registos com o ícone de incidente e uma barra lateral vermelha crítica. O registo é automaticamente atribuído a um utilizador com a função de gestor do SOC.

Altere a fase do registo

Se lhe for atribuído um registo, pode atualizar a respetiva fase com base no fluxo de trabalho da sua equipa. 

Para alterar a fase de um registo, siga estes passos:

  1. Selecione um registo na fila.
  2. Clique em format_list_bulleted Ações do registo e selecione Fase.
  3. Selecione uma das seguintes fases:
    • Triagem: fase inicial quando o registo é criado. Esta é a predefinição.
    • Avaliação: o registo é encaminhado para o nível seguinte para avaliação.
    • Investigação: o registo tem uma investigação ativa de alertas e entidades atribuída. 
    • Melhoria: o caso é sinalizado para refinar as regras de deteção do SOC ou a revisão de seguimento. 
    • Investigação: o registo é atribuído a uma investigação mais detalhada sobre o acesso externo ou o comportamento de ameaças à sua organização.
    • Incidente: a fase final do registo para eventos críticos. Depois de selecionar Incidente, não pode alterar esta opção.
  4. Clique em Guardar.

Altere a prioridade do registo

Para alterar a prioridade do registo, siga estes passos:

  1. Selecione um registo na fila.
  2. Clique em format_list_bulleted Ações de registo e selecione Prioridade.
  3. Escolha um dos seguintes níveis. Cada um tem um indicador de cor da caixa correspondente:
    • Informativa (cinzento)
    • Baixo (azul)
    • Médio (amarelo)
    • Alta (laranja)
    • Crítico (vermelho)
  4. Clique em OK. A prioridade do registo é alterada.
  5. Opcional: clique na amostra de cor para alterar a cor da barra de caixa.

Transfira um relatório de registo

Pode transferir um relatório de registo no formato DOC, XLSX ou CSV. Os relatórios incluem os seguintes detalhes:

  • Detalhes do registo
  • Alertas, entidades e estatísticas
  • Atividades do utilizador e do sistema
  • Ações do manual de soluções e atividade do registo
  • Todas as entradas incluídas no mural de registos

Para transferir um relatório, siga estes passos:

  1. Selecione um registo na fila.
  2. Clique em format_list_bulleted Ações do registo e selecione Relatório.
  3. Na caixa de diálogo Selecionar tipo de relatório, selecione o tipo de ficheiro e, de seguida, clique em Selecionar.
  4. Abra o ficheiro transferido para ver o relatório.

Faça a gestão dos alertas num registo

Para gerir alertas específicos num registo, faça o seguinte:

  1. No menu Opções de alerta da página Casos > separador Alerta, clique em more_vert Opções de alerta.
  2. Selecione uma das opções disponíveis:
    • Explorar alerta: para mais informações sobre a página Resultados dos alertas, clique em Investigar um alerta.
    • Carregar alerta como exemplo de teste: clique em Carregar alerta como exemplo de teste para adicionar um novo exemplo de teste ao sistema. O sistema marca-o como um caso de teste para identificação. Os alertas carregados são excluídos dos painéis de controlo e dos relatórios, e não são agrupados com outros alertas.
    • Alterar prioridade: recomendamos que altere a prioridade do alerta em vez da prioridade do registo. Alterar a prioridade do alerta não afeta a prioridade do registo. Para mais informações, consulte o artigo Altere a prioridade do alerta em vez da prioridade do registo.
    • Mover alerta: se lhe for atribuído um registo com vários alertas, pode mover o alerta para um novo registo ou mover o alerta para um registo existente. Se selecionar Mover alerta para registo existente, escolha o registo de destino no menu e clique em Mover.
    • Gerir regra de deteção de alertas: disponível apenas para utilizadores do Google Security Operations.
      • Se a regra for uma regra predefinida do Google SecOps, o sistema redireciona-o para a página Deteção de regras. Para mais informações, consulte o artigo Filtre dados na vista Deteções de regras.
      • Se a regra for uma regra de cliente, o sistema redireciona para a página do Editor de regras. Para mais informações, consulte o artigo Faça a gestão das regras através do editor de regras.
      • Fechar alerta: fecha o alerta no registo. Selecione um valor no campo Motivo, Causa principal ou Útil.
        • O campo Utilidade só é apresentado aos utilizadores do Google SecOps e ajuda os analistas de regras a receber feedback mais preciso sobre as regras de alerta a partir da introdução de dados dos clientes.
        • Os alertas fechados num registo aparecem como indisponíveis e apresentam a etiqueta Fechado. Só pode fechar um alerta se existirem outros alertas no registo e este estiver atribuído a si.
      • Adicionar entidade: adicione manualmente uma entidade existente ou nova a um alerta.

Execute uma ação manual num registo

As ações manuais e as ações do manual de procedimentos ficam disponíveis depois de instalar a integração correspondente a partir do Google Security Operations Marketplace.

Para executar uma ação manual num registo, siga estes passos:

  1. No caso selecionado, clique em manualactionicon Ação manual.
  2. Na caixa de diálogo Ação manual, selecione a ação necessária. Por exemplo, selecione VirusTotalV3 > Enriquecer URL. Introduza as informações obrigatórias.
  3. Selecione os alertas e as entidades aos quais a ação deve ser aplicada.
  4. Clique em Executar para apresentar os detalhes da ação na cronologia do registo.

Simule registos no Google SecOps

Pode simular um registo preenchido com alertas predefinidos gerados pelo sistema. Os casos simulados são úteis em ambientes de preparação ou para demonstrações.

Também pode criar registos personalizados ou importar registos existentes no formato JSON usando ficheiros com o sufixo ".CASE".

Para simular um registo, siga estes passos:

  1. No cabeçalho Fila de registos, clique em Adicionar um registo e, de seguida, selecione Simular registos.
  2. Na caixa de diálogo Simular registos, selecione um registo na lista.
  3. Clique em Criar.

Crie um novo registo

Para criar um novo registo simulado, siga estes passos:

  1. Na caixa de diálogo Simular registos, clique em Adicionar ou importar registo e, de seguida, em Adicionar novo registo.
  2. Na caixa de diálogo Adicionar novo registo, introduza o Nome da origem/SIEM, o Nome da regra (gerador de regras), o Produto de alerta, o Nome do alerta e o Nome do evento
  3. Opcionalmente, também pode indicar:
    • Campos de alerta adicionais
    • Campos de eventos adicionais
  4. Clique em Guardar. O registo aparece na lista Simular registos.
  5. Selecione o registo criado recentemente e clique em Criar.
  6. Selecione o ambiente de destino e clique em Simular. O novo registo é apresentado na fila.

Importe um registo para um ficheiro JSON

Para importar um registo para um ficheiro JSON, siga estes passos:

  1. Na caixa de diálogo Simular registos, clique em Adicionar ou importar registo e, de seguida, em Importar registo.
  2. Selecione o registo necessário e clique em Abrir. O registo é importado no formato JSON.

Realize ações em lote em vários registos

Pode realizar ações em lote em vários registos na página Pesquisa.

As ações em lote disponíveis incluem o seguinte:

  • Exportar para CSV: transfere uma lista de registos selecionados e os respetivos metadados no formato CSV para revisão ou relatórios offline.
  • Fechar registo: pode fechar registos através de várias opções da interface, incluindo a página de detalhes do registo, a fila de registos (vistas lado a lado e de lista) e a página de pesquisa. Pode fechar um registo assim que for resolvido.
  • Reabrir registo: reabre registos fechados anteriormente para retomar a investigação ou as ações de seguimento.
  • Alterar prioridade: atualiza o nível de prioridade (Baixa, Média, Alta ou Crítica) dos registos selecionados para refletir a urgência ou a gravidade.
  • Atribuir registo: atribui um registo a um utilizador ou um grupo específico para investigação adicional.
  • Adicionar etiqueta: aplica uma ou mais etiquetas aos registos selecionados para suportar a filtragem, a categorização ou as regras de automatização.
  • Unir registos: combina vários registos relacionados num único registo para reduzir a duplicação e centralizar a investigação.
  • Alterar fase: atualiza a fase dos registos selecionados para refletir o respetivo progresso ou estado.

Para realizar uma ação em lote, siga estes passos:

  1. Aceda a Investigação e clique em Pesquisa SOAR.
  2. Selecione o período dos registos relevantes.
  3. Selecione os registos com o filtro necessário.
  4. Selecione as caixas de verificação para aplicar os filtros relevantes > Aplicar.
  5. Na lista Resultados, selecione as caixas de verificação dos registos que quer modificar.
  6. Selecione uma ação no menu Resultados da pesquisa.

Ações rápidas

O widget Ações rápidas permite-lhe definir ações reutilizáveis que pode executar diretamente a partir de registos e alertas. Pode adicionar este widget à vista de registo predefinida, à vista de alerta predefinida e às vistas de alerta personalizadas em manuais de soluções.

A definição de parâmetros para ações rápidas é opcional. Se forem fornecidas, pode revê-las e modificá-las antes da execução. Se deixar em branco, os parâmetros têm de ser preenchidos no momento da execução.

Se uma integração for removida após a configuração de uma ação rápida, o botão ação rápida correspondente é ocultado e o widget é sinalizado na vista de configuração para indicar uma integração em falta.

Para ver instruções de configuração, consulte o seguinte:

Exemplo de utilização: configure a ação rápida para a investigação de ficheiros maliciosos

Este exemplo de utilização mostra como criar uma ação rápida que ajuda a investigar ficheiros potencialmente maliciosos num registo.

Adicione o widget Ações rápidas

  1. Aceda a Definições do SOAR > Dados de registos > Vistas.
  2. Selecione Vista de registo predefinida.
  3. Selecione o separador Geral.
  4. Arraste o widget Ações rápidas para a Vista de registo predefinida.

Configure o widget

  1. Clique em definições Configuração.
  2. No painel lateral Ações rápidas, introduza File Investigation para o título do widget.
  3. Para a descrição do widget, introduza Quickly scan file hashes.
  4. Opcional: escolha uma largura do widget.
  5. Clique em Definições avançadas.
  6. Na secção Condições, defina os critérios para apresentar o widget. Para mostrar o widget apenas quando um registo é etiquetado com malicious-file, use a condição Case.Tags contém malicious-file.

Adicione um botão Analisar hash

  1. Em Texto, pode fornecer instruções ou contexto diretamente no widget. Para este exemplo de utilização, adicione o seguinte texto: Use the 'Scan Hash' button to check suspicious files.
  2. Em Botões, clique em + Adicionar novo botão para criar uma nova ação rápida. Pode adicionar até seis botões, cada um correspondente a uma Ação rápida diferente.
  3. Na caixa de diálogo Adicionar botão apresentada, configure a ação rápida (Analisar hash):
    • Nome: hash da análise
    • Cor do botão: escolha uma cor.
    • Ação: selecione Analisar hash na secção VirusTotal da lista Ação.
    • Opcional: escolha a instância relevante para o VirusTotal.
    • Opcional: em Parâmetros, defina o parâmetro Hash:
      Hash: [Case.FileHash]
  4. Na caixa de diálogo Adicionar botão, clique em Fechar.
  5. No painel lateral Ações rápidas, clique em Guardar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.