Maßnahmen in einem Fall ergreifen

Unterstützt in:

In diesem Dokument werden die verschiedenen Aktionen beschrieben, die Sie für einen Fall ausführen können, z. B. den Status oder die Priorität aktualisieren, zugehörige Benachrichtigungen verwalten, Berichte erstellen und einzelne oder Bulk-Aktionen ausführen, um die Fallbearbeitung zu optimieren.

Fall als wichtig markieren

Wenn Sie einen Fall hervorheben möchten, können Sie ihn als wichtig markieren. Sie können das Tag Wichtig auch über dasselbe Menü entfernen.

So markieren Sie einen Fall als wichtig:

  • Klicken Sie auf  format_list_bulleted Vorgangsaktionen, wählen Sie einen Vorgang aus, den Sie taggen möchten, und klicken Sie auf Als wichtig markieren. Ein gelbes arrow_drop_up wird neben dem Vorgang angezeigt.

Fall als Vorfall markieren

Wenn ein Ihnen zugewiesener Fall dringend ist und sofortige Maßnahmen erfordert, markieren Sie ihn als Vorfall. Dadurch wird automatisch Folgendes ausgeführt:

  • Setzt die Priorität des Falls auf Kritisch
  • Ändert die Fallphase in Vorfall
  • Weist den Fall dem SOC-Manager zu
  • Sendet eine Benachrichtigung an alle Analysten

So markieren Sie einen Fall als Vorfall:

  1. Rufen Sie auf der Seite Fälle den entsprechenden Fall auf.
  2. Klicken Sie auf  format_list_bulleted Vorgangsaktionen und wählen Sie Vorfall aus.
  3. Klicken Sie im Dialogfeld Bestätigung auf Ja. Die Seite wird aktualisiert und der neue Vorfall wird in der Fallliste mit dem Vorfallsymbol und einer roten Seitenleiste angezeigt. Die Anfrage wird automatisch einem Nutzer mit der Rolle „SOC Manager“ zugewiesen.

Fallphase ändern

Wenn Ihnen ein Fall zugewiesen ist, können Sie die Phase entsprechend dem Workflow Ihres Teams aktualisieren. 

So ändern Sie den Status eines Falls:

  1. Wählen Sie eine Anfrage aus der Warteschlange aus.
  2. Klicken Sie auf format_list_bulleted Vorgangsaktionen und wählen Sie Phase aus.
  3. Wählen Sie eine der folgenden Phasen aus:
    • Triage: Die erste Phase, in der der Fall erstellt wird. Das ist die Standardeinstellung.
    • Bewertung: Der Fall wird zur Bewertung an die nächste Stufe eskaliert.
    • Untersuchung: Dem Fall wird eine aktive Untersuchung von Benachrichtigungen und Entitäten zugewiesen. 
    • Verbesserung: Der Fall wird zur Optimierung der SOC-Erkennungsregeln oder zur Nachprüfung gekennzeichnet. 
    • Recherche: Dem Fall wird eine eingehendere Untersuchung des externen Zugriffs oder des Bedrohungsverhaltens für Ihre Organisation zugewiesen.
    • Vorfall: Die letzte Fallphase für kritische Ereignisse. Nachdem Sie Vorfall ausgewählt haben, können Sie die Auswahl nicht mehr ändern.
  4. Klicken Sie auf Speichern.

Fallpriorität ändern

So ändern Sie die Fallpriorität:

  1. Wählen Sie eine Anfrage aus der Warteschlange aus.
  2. Klicken Sie auf format_list_bulleted Vorgangsaktionen und wählen Sie Priorität aus.
  3. Wählen Sie eine der folgenden Stufen aus. Jede Stufe hat eine entsprechende Gehäusefarbanzeige:
    • Informativ (grau)
    • Niedrig (blau)
    • Mittel (gelb)
    • Hoch (orange)
    • Kritisch (rot)
  4. Klicken Sie auf OK. Die Fallpriorität wird geändert.
  5. Optional: Klicken Sie auf das Farbmuster, um die Farbe der Fallleiste zu ändern.

Fallbericht herunterladen

Sie können einen Fallbericht im DOC-, XLSX- oder CSV-Format herunterladen. Berichte enthalten die folgenden Details:

  • Falldetails
  • Benachrichtigungen, Entitäten und Statistiken
  • Nutzer- und Systemaktivitäten
  • Playbook-Aktionen und Fallaktivitäten
  • Alle Einträge, die in der Fallwand enthalten sind

So laden Sie einen Bericht herunter:

  1. Wählen Sie eine Anfrage aus der Warteschlange aus.
  2. Klicken Sie auf  format_list_bulleted Vorgangsaktionen und wählen Sie Bericht aus.
  3. Wählen Sie im Dialogfeld Berichtstyp auswählen den Dateityp aus und klicken Sie dann auf Auswählen.
  4. Öffnen Sie die heruntergeladene Datei, um den Bericht anzusehen.

Benachrichtigungen in einem Fall verwalten

So verwalten Sie bestimmte Benachrichtigungen in einem Fall:

  1. Klicken Sie auf der Seite Fälle im Menü Benachrichtigungsoptionen auf dem Tab Benachrichtigung auf  more_vert Benachrichtigungsoptionen.
  2. Wählen Sie eine der verfügbaren Optionen aus:
    • Benachrichtigung untersuchen: Weitere Informationen zur Seite Benachrichtigungsergebnisse finden Sie unter Benachrichtigung untersuchen.
    • Benachrichtigung als Testfall aufnehmen: Klicken Sie auf Benachrichtigung als Testfall aufnehmen, um dem System einen neuen Testfall hinzuzufügen. Das System markiert es zur Identifizierung als Testlauf. Aufgenommene Warnungen werden aus Dashboards und Berichten ausgeschlossen und nicht mit anderen Warnungen gruppiert.
    • Priorität ändern:Wir empfehlen, die Priorität der Benachrichtigung und nicht die des Falls zu ändern. Das Ändern der Benachrichtigungspriorität hat keine Auswirkungen auf die Priorität des Falls. Weitere Informationen finden Sie unter Benachrichtigungspriorität anstelle der Fallpriorität ändern.
    • Benachrichtigung verschieben: Wenn Ihnen ein Fall mit mehreren Benachrichtigungen zugewiesen ist, können Sie die Benachrichtigung in einen neuen Fall verschieben oder die Benachrichtigung in einen vorhandenen Fall verschieben. Wenn Sie Benachrichtigung in vorhandenen Fall verschieben auswählen, wählen Sie den Zielfall im Menü aus und klicken Sie auf Verschieben.
    • Erkennungsregel für Benachrichtigung verwalten: Nur für Google Security Operations-Nutzer verfügbar.
      • Wenn es sich bei der Regel um eine vordefinierte Google SecOps-Regel handelt, werden Sie zur Seite Rules Detection (Regelerkennung) weitergeleitet. Weitere Informationen finden Sie unter Daten in der Regelerkennungsansicht filtern.
      • Wenn es sich um eine Kundenregel handelt, werden Sie zum Regel-Editor weitergeleitet. Weitere Informationen finden Sie unter Regeln mit dem Regeleditor verwalten.
      • Benachrichtigung schließen:Schließt die Benachrichtigung im Fall. Wählen Sie einen Wert aus dem Feld Grund, Ursache oder Nützlichkeit aus.
        • Das Feld Nützlichkeit wird nur für Google SecOps-Nutzer angezeigt und hilft Analysten, genaueres Feedback zu Benachrichtigungsregeln von Kunden zu erhalten.
        • Geschlossene Benachrichtigungen in einem Fall sind nicht verfügbar und haben das Tag Geschlossen. Sie können eine Benachrichtigung nur schließen, wenn im Fall andere Benachrichtigungen vorhanden sind und der Fall Ihnen zugewiesen ist.
      • Add Entity (Entität hinzufügen): Fügen Sie einem Alert manuell eine vorhandene oder neue Entität hinzu.

Manuelle Aktion in einem Fall ausführen

Manuelle Aktionen und Playbook-Aktionen sind verfügbar, nachdem Sie die entsprechende Integration über den Google Security Operations Marketplace installiert haben.

So führen Sie eine manuelle Aktion in einem Fall aus:

  1. Klicken Sie im ausgewählten Fall auf manualactionicon Manuelle Aktion.
  2. Wählen Sie im Dialogfeld Manuelle Aktion die gewünschte Aktion aus. Wählen Sie beispielsweise VirusTotalV3> URL anreichern aus. Geben Sie die erforderlichen Informationen ein.
  3. Wählen Sie die Benachrichtigungen und Entitäten aus, auf die sich die Aktion beziehen soll.
  4. Klicken Sie auf Ausführen, um die Aktionsdetails in der Fallübersicht anzuzeigen.

Fälle in Google SecOps simulieren

Sie können einen Fall simulieren, der mit vom System generierten Standardbenachrichtigungen gefüllt ist. Simulierte Fälle sind in Staging-Umgebungen oder für Demonstrationen nützlich.

Sie können auch benutzerdefinierte Fälle erstellen oder vorhandene Fälle im JSON-Format mit Dateien mit dem Suffix „.CASE“ importieren.

So simulieren Sie einen Fall:

  1. Klicken Sie in der Kopfzeile Case queue (Warteschlange für Kundenservicetickets) auf  Add a Case (Kundenserviceticket hinzufügen) und wählen Sie dann Simulate Cases (Kundenservicetickets simulieren) aus.
  2. Wählen Sie im Dialogfeld Fälle simulieren einen Fall aus der Liste aus.
  3. Klicken Sie auf Erstellen.

Neuen Fall erstellen

So erstellen Sie einen neuen simulierten Fall:

  1. Klicken Sie im Dialogfeld Fälle simulieren auf  Fall hinzufügen oder importieren und dann auf Neuen Fall hinzufügen.
  2. Geben Sie im Dialogfeld Add New Case (Neuen Fall hinzufügen) den Source/SIEM Name (Quellen-/SIEM-Name), den Rule Name (Regelname) (Rule Generator), das Alert Product (Benachrichtigungsprodukt), den Alert Name (Benachrichtigungsname) und den Event Name (Ereignisname) ein.
  3. Optional können Sie auch Folgendes angeben:
    • Zusätzliche Benachrichtigungsfelder
    • Zusätzliche Ereignisfelder
  4. Klicken Sie auf Speichern. Der Fall wird in der Liste Fälle simulieren angezeigt.
  5. Wählen Sie die neu erstellte Anfrage aus und klicken Sie auf Erstellen.
  6. Wählen Sie die Zielumgebung aus und klicken Sie auf Simulieren. Die neue Anfrage wird in der Warteschlange angezeigt.

Fall in eine JSON-Datei importieren

So importieren Sie einen Fall in eine JSON-Datei:

  1. Klicken Sie im Dialogfeld Fälle simulieren auf Fall hinzufügen oder importieren und dann auf Fall importieren.
  2. Wählen Sie den gewünschten Fall aus und klicken Sie auf Öffnen. Der Fall wird im JSON-Format importiert.

Batchaktionen für mehrere Fälle ausführen

Sie können Batchaktionen für mehrere Fälle auf der Seite Suche ausführen.

Folgende Batchaktionen sind verfügbar:

  • Als CSV exportieren: Lädt eine Liste der ausgewählten Fälle und ihrer Metadaten im CSV-Format zur Offlineüberprüfung oder Berichterstellung herunter.
  • Fall schließen: Sie können Fälle über verschiedene Schnittstellenoptionen schließen, darunter die Seite mit den Falldetails, die Fallwarteschlange (Nebeneinander- und Listenansicht) und die Suchseite. Sie können einen Fall schließen, sobald er gelöst ist.
  • Anfrage wieder öffnen: Damit werden zuvor geschlossene Anfragen wieder geöffnet, um die Untersuchung oder Folgemaßnahmen fortzusetzen.
  • Priorität ändern: Aktualisiert die Prioritätsstufe (Niedrig, Mittel, Hoch oder Kritisch) ausgewählter Fälle, um die Dringlichkeit oder den Schweregrad widerzuspiegeln.
  • Fall zuweisen: Weist einen Fall einem bestimmten Nutzer oder einer bestimmten Gruppe zur weiteren Untersuchung zu.
  • Tag hinzufügen: Wendet ein oder mehrere Tags auf ausgewählte Fälle an, um das Filtern, die Kategorisierung oder Automatisierungsregeln zu unterstützen.
  • Anfragen zusammenführen: Mehrere ähnliche Anfragen werden zu einer einzigen Anfrage zusammengefasst, um Duplikate zu vermeiden und die Untersuchung zu zentralisieren.
  • Phase ändern: Aktualisiert die Phase ausgewählter Fälle, um ihren Fortschritt oder Status widerzuspiegeln.

So führen Sie eine Batch-Aktion aus:

  1. Klicken Sie auf Untersuchung und dann auf SOAR-Suche.
  2. Wählen Sie den Zeitraum für die relevanten Fälle aus.
  3. Wählen Sie die Fälle mit dem erforderlichen Filter aus.
  4. Aktivieren Sie die Kästchen, um die entsprechenden Filter anzuwenden > Anwenden.
  5. Klicken Sie in der Liste Ergebnisse auf die Kästchen für die Fälle, die Sie ändern möchten.
  6. Wählen Sie eine Aktion aus dem Menü Suchergebnisse aus.

Schnellaktionen

Mit dem Widget Schnellaktionen können Sie wiederverwendbare Aktionen definieren, die Sie direkt in Supportanfragen und Benachrichtigungen ausführen können. Sie können dieses Widget in Playbooks in der Standardansicht für Supportanfragen, der Standardansicht für Benachrichtigungen und benutzerdefinierten Ansichten für Benachrichtigungen hinzufügen.

Das Definieren von Parametern für Schnellaktionen ist optional. Falls verfügbar, können Sie sie vor der Ausführung überprüfen und ändern. Wenn das Feld leer gelassen wird, müssen die Parameter zur Laufzeit ausgefüllt werden.

Wenn eine Integration entfernt wird, nachdem eine Schnellaktion konfiguriert wurde, wird die entsprechende Schaltfläche Schnellaktion ausgeblendet und das Widget wird in der Konfigurationsansicht als fehlende Integration gekennzeichnet.

Eine Anleitung zur Einrichtung finden Sie hier:

Anwendungsfall: Schnellaktion für die Untersuchung schädlicher Dateien konfigurieren

In diesem Anwendungsfall wird gezeigt, wie Sie eine Schnellaktion erstellen, mit der Sie potenziell schädliche Dateien in einem Fall untersuchen können.

Schnellaktionen-Widget hinzufügen

  1. Rufen Sie die SOAR-Einstellungen > „Case Data“ (Falldaten) > „Views“ (Ansichten) auf.
  2. Wählen Sie Standardansicht für Kundenservicetickets aus.
  3. Wählen Sie den Tab Allgemein aus.
  4. Ziehen Sie das Widget Schnellaktionen in die Standardansicht für Supportanfragen.

Widget konfigurieren

  1. Klicken Sie auf die Einstellungen Konfiguration.
  2. Geben Sie in der Seitenleiste Schnellaktionen File Investigation als Widget-Titel ein.
  3. Geben Sie für die Widget-Beschreibung Quickly scan file hashes. ein.
  4. Optional: Wählen Sie eine Widget-Breite aus.
  5. Klicke auf Erweiterte Einstellungen.
  6. Legen Sie im Abschnitt Bedingungen die Kriterien für die Anzeige des Widgets fest. Wenn das Widget nur angezeigt werden soll, wenn ein Fall mit malicious-file getaggt ist, verwenden Sie die Bedingung Case.Tags enthält malicious-file.

Schaltfläche „Hash scannen“ hinzufügen

  1. Unter Text können Sie direkt im Widget Anweisungen oder Kontext angeben. Fügen Sie für diesen Anwendungsfall den folgenden Text hinzu: Use the 'Scan Hash' button to check suspicious files.
  2. Klicken Sie unter Schaltflächen auf + Neue Schaltfläche hinzufügen, um eine neue Schnellaktion zu erstellen. Sie können bis zu sechs Schaltflächen hinzufügen, die jeweils einer anderen Schnellaktion entsprechen.
  3. Konfigurieren Sie im angezeigten Dialogfeld Schaltfläche hinzufügen die Schnellaktion (Hash scannen):
    • Name: Scan-Hash
    • Schaltflächenfarbe: Wählen Sie eine Farbe aus.
    • Aktion: Wählen Sie im Bereich „VirusTotal“ in der Liste Aktion die Option Hash scannen aus.
    • Optional: Wählen Sie die entsprechende Instanz für VirusTotal aus.
    • Optional: Definieren Sie unter Parameter den Parameter Hash:
      Hash:[Case.FileHash]
  4. Klicken Sie im Dialogfeld Schaltfläche hinzufügen auf Schließen.
  5. Klicken Sie in der Seitenleiste Schnellaktionen auf Speichern.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten