Realizar acciones en un caso

En este documento se describen las distintas acciones que puede realizar en un caso, como actualizar su estado o prioridad, gestionar las alertas asociadas, generar informes y llevar a cabo acciones individuales o en bloque para agilizar la gestión de casos.

Marcar un caso como importante

Si quieres destacar un caso, puedes marcarlo como importante. También puedes quitar la etiqueta Importante desde el mismo menú.

Para marcar un caso como importante, sigue estos pasos:

• Haz clic en format_list_bulleted Acciones de la incidencia, selecciona una incidencia para etiquetarla y, a continuación, Marcar como importante. Aparecerá una arrow_drop_up amarilla junto a la incidencia.

Marcar un caso como incidente

Si un caso que tienes asignado es urgente y requiere que actúes de inmediato, márcalo como Incidente. Esto ocurre automáticamente:

• Define la prioridad del caso como Crítica
• Cambia la fase del caso a Incidente
• Asigna el caso al gestor del SOC
• Envía una notificación a todos los analistas.

Para marcar un caso como incidente, sigue estos pasos:

1. En la página Casos, vaya al caso correspondiente.
2. Haz clic en format_list_bulleted Acciones de caso y selecciona Incidente.
3. En el cuadro de diálogo Confirmación, haz clic en Sí. La página se actualiza y el nuevo incidente aparece en la lista de casos con el icono de incidente y una barra lateral roja de nivel crítico. El caso se asigna automáticamente a un usuario con el rol de gestor del SOC.

Cambiar la fase del caso

Si se te asigna un caso, puedes actualizar su fase en función del flujo de trabajo de tu equipo. 

Para cambiar la fase de un caso, sigue estos pasos:

1. Selecciona un caso de la cola.
2. Haz clic en format_list_bulleted Acciones del caso y selecciona Fase.
3. Selecciona una de las siguientes fases:
   • Triaje: fase inicial en la que se crea el caso. Este es el valor predeterminado.
   • Evaluación: el caso se deriva al siguiente nivel para que se evalúe.
   • Investigación: se asigna una investigación activa de alertas y entidades al caso. 
   • Mejora: el caso se marca para perfeccionar las reglas de detección del SOC o para hacer un seguimiento. 
   • Investigación: se asigna una investigación más exhaustiva sobre el acceso externo o el comportamiento de las amenazas a tu organización.
   • Incidente: la fase final de los casos de eventos críticos. Una vez que hayas seleccionado Incidente, no podrás cambiarlo.
4. Haz clic en Guardar.

Cambiar la prioridad del caso

Para cambiar la prioridad de un caso, sigue estos pasos:

1. Selecciona un caso de la cola.
2. Haz clic en format_list_bulleted Acciones del caso y selecciona Prioridad.
3. Elige uno de los siguientes niveles. Cada uno tiene un indicador de color correspondiente:
   • Informativa (gris)
   • Bajo (azul)
   • Medio (amarillo)
   • Alto (naranja)
   • Crítico (rojo)
4. Haz clic en Aceptar. La prioridad del caso cambia.
5. Opcional: Haz clic en la muestra de color para cambiar el color de la barra de casos.

Descargar un informe de caso

Puedes descargar un informe de caso en formato DOC, XLSX o CSV. Los informes incluyen los siguientes detalles:

• Detalles del caso
• Alertas, entidades y estadísticas
• Actividades de usuarios y del sistema
• Acciones de la guía y actividad del caso
• Todas las entradas incluidas en el panel de casos

Para descargar un informe, sigue estos pasos:

1. Selecciona un caso de la cola.
2. Haz clic en format_list_bulleted Acciones del caso y selecciona Informar.
3. En el cuadro de diálogo Seleccionar tipo de informe, elija el tipo de archivo y, a continuación, haga clic en Seleccionar.
4. Abre el archivo descargado para ver el informe.

Gestionar alertas en un caso

Para gestionar alertas específicas de un caso, haz lo siguiente:

1. En el menú Opciones de alerta de la página Casos > pestaña Alerta, haga clic en more_vert Opciones de alerta.
2. Selecciona una de las opciones disponibles:
• Explorar alerta: para obtener más información sobre la página Resultados de alertas, haz clic en Investigar una alerta.
• Ingerir alerta como caso de prueba: haz clic en Ingerir alerta como caso de prueba para añadir un nuevo caso de prueba al sistema. El sistema lo marca como Caso de prueba para identificarlo. Las alertas insertadas se excluyen de los paneles de control y los informes, y no se agrupan con otras alertas.
• Cambiar la prioridad: te recomendamos que cambies la prioridad de la alerta en lugar de la del caso. Cambiar la prioridad de la alerta no afecta a la prioridad del caso. Para obtener más información, consulta Cambiar la prioridad de la alerta en lugar de la del caso.
• Mover alerta: si se te asigna un caso con varias alertas, puedes mover la alerta a un caso nuevo o mover la alerta a un caso ya abierto. Si seleccionas Mover alerta a caso existente, elige el caso de destino en el menú y haz clic en Mover.
• Gestionar regla de detección de alerta: solo está disponible para los usuarios de Google Security Operations.
• Si la regla es una regla predefinida de Google SecOps, el sistema te redirigirá a la página Detección de reglas. Para obtener más información, consulta Filtrar datos en la vista de detecciones de reglas.
• Si la regla es una regla de cliente, el sistema te redirige a la página Editor de reglas. Para obtener más información, consulta el artículo Gestionar reglas con el editor de reglas.
• Cerrar alerta: cierra la alerta del caso. Selecciona un valor en los campos Motivo, Causa principal o Utilidad.
• El campo Utilidad solo aparece para los usuarios de Google SecOps y ayuda a los analistas de reglas a obtener comentarios más precisos sobre las reglas de alertas a partir de las aportaciones de los clientes.
• Las alertas cerradas de un caso aparecen como no disponibles y muestran la etiqueta Cerrada. Solo puedes cerrar una alerta si hay otras alertas en el caso y este está asignado a ti.
• Añadir entidad: añade manualmente una entidad nueva o que ya tengas a una alerta.

Ejecutar una acción manual en un caso

Las acciones manuales y las acciones de playbook estarán disponibles después de instalar la integración correspondiente desde Google Security Operations Marketplace.

Para ejecutar una acción manual en un caso, sigue estos pasos:

1. En el caso seleccionado, haz clic en Acción manual.
2. En el cuadro de diálogo Acción manual, selecciona la acción que quieras. Por ejemplo, selecciona VirusTotalV3 > Enriquecer URL. Introduce la información requerida.
3. Selecciona las alertas y las entidades a las que se debe aplicar la acción.
4. Haz clic en Ejecutar para ver los detalles de la acción en el muro del caso.

Simular casos en Google SecOps

Puedes simular un caso con alertas predeterminadas generadas por el sistema. Los casos simulados son útiles en entornos de preproducción o para demostraciones.

También puedes crear casos personalizados o importar casos en formato JSON mediante archivos con el sufijo `.CASE`.

Para simular un caso, sigue estos pasos:

1. En el encabezado Cola de incidencias, haz clic en add Añadir una incidencia y, a continuación, selecciona Simular incidencias.
   
2. En el cuadro de diálogo Simular casos, selecciona un caso de la lista.
3. Haz clic en Crear.

Crear un parte de asistencia

Para crear un caso simulado, sigue estos pasos:

1. En el cuadro de diálogo Simular casos, haga clic en add Añadir o importar caso y, a continuación, en Añadir nuevo caso.
2. En el cuadro de diálogo Añadir nuevo caso, introduzca el nombre de la fuente o del SIEM, el nombre de la regla (generador de reglas), el producto de alerta, el nombre de la alerta y el nombre del evento.
3. También puedes proporcionar lo siguiente (opcional):
   • Campos adicionales de alerta
   • Campos adicionales de evento
4. Haz clic en Guardar. El caso aparece en la lista Simular casos.
5. Selecciona el caso que acabas de crear y haz clic en Crear.
6. Selecciona el entorno de destino y haz clic en Simular. El nuevo caso aparece en la cola.

Importar un caso a un archivo JSON

Para importar un caso a un archivo JSON, sigue estos pasos:

1. En el cuadro de diálogo Simular casos, haga clic en add Añadir o importar caso y, a continuación, en Importar caso.
2. Selecciona el caso que quieras y haz clic en Abrir. El caso se importa en formato JSON.

Realizar acciones en lote en varios casos

Puedes realizar acciones en lote en varios casos en la página Búsqueda.

Entre las acciones en bloque disponibles se incluyen las siguientes:

• Exportar a CSV: descarga una lista de los casos seleccionados y sus metadatos en formato CSV para revisarlos o generar informes sin conexión.
• Cerrar caso: puedes cerrar casos mediante varias opciones de la interfaz, como la página de detalles del caso, la cola de casos (vistas en paralelo y de lista) y la página de búsqueda. Puedes cerrar un caso una vez que se haya resuelto.
• Reabrir caso: reabre los casos cerrados anteriormente para reanudar la investigación o las acciones de seguimiento.
• Cambiar prioridad: actualiza el nivel de prioridad (Baja, Media, Alta o Crítica) de los casos seleccionados para reflejar la urgencia o la gravedad.
• Asignar caso: asigna un caso a un usuario o grupo específico para que lo investigue más a fondo.
• Añadir etiqueta: aplica una o varias etiquetas a los casos seleccionados para facilitar el filtrado, la categorización o las reglas de automatización.
• Combinar casos: combina varios casos relacionados en uno solo para reducir la duplicación y centralizar la investigación.
• Cambiar fase: actualiza la fase de los casos seleccionados para reflejar su progreso o estado.

Para realizar una acción en bloque, sigue estos pasos:

1. Ve a Investigación y haz clic en Búsqueda de SOAR.
2. Selecciona el periodo de los casos correspondientes.
3. Selecciona los casos con el filtro necesario.
4. Selecciona las casillas para aplicar los filtros correspondientes > Aplicar.
5. En la lista Resultados, marca las casillas de los casos que quieras modificar.
6. Selecciona una acción en el menú Resultados de búsqueda.

Acciones rápidas

El widget Acciones rápidas te permite definir acciones reutilizables que puedes ejecutar directamente desde casos y alertas. Puedes añadir este widget a la vista de casos predeterminada, a la vista de alertas predeterminada y a las vistas de alertas personalizadas de las guías.

Definir parámetros para las acciones rápidas es opcional. Si se proporcionan, puedes revisarlos y modificarlos antes de ejecutarlos. Si se deja en blanco, los parámetros deben rellenarse en el tiempo de ejecución.

Si se elimina una integración después de configurar una acción rápida, se ocultará el botón Acción rápida correspondiente y el widget se marcará en la vista de configuración para indicar que falta una integración.

Para obtener instrucciones de configuración, consulta lo siguiente:

• Definir la vista predeterminada de los casos
• Definir la vista de alerta predeterminada
• Definir vistas de alerta personalizadas desde el diseñador de guías

Caso práctico: configurar una acción rápida para investigar archivos maliciosos

En este caso práctico se muestra cómo crear una acción rápida que ayude a investigar archivos potencialmente maliciosos en un caso.

Añadir el widget Acciones rápidas

1. Ve a Configuración de SOAR > Datos del caso > Vistas.
2. Selecciona Vista predeterminada de casos.
3. Selecciona la pestaña General.
4. Arrastra el widget Acciones rápidas a la vista de caso predeterminada.

Configurar el widget

1. Haz clic en Configuración Configuración.
2. En el panel lateral Acciones rápidas, escribe File Investigation como título del widget.
3. En la descripción del widget, escribe Quickly scan file hashes.
4. Opcional: elige la anchura del widget.
5. Haz clic en Configuración avanzada.
6. En la sección Condiciones, defina los criterios para mostrar el widget. Para mostrar el widget solo cuando un caso se etiquete con malicious-file, usa la condición Case.Tags contiene malicious-file.

Añadir un botón de análisis de hash

1. En Texto, puedes proporcionar instrucciones o contexto directamente en el widget. En este caso práctico, añade el siguiente texto: Use the 'Scan Hash' button to check suspicious files.
2. En Botones, haz clic en + Añadir nuevo botón para crear una acción rápida. Puedes añadir hasta seis botones, cada uno de los cuales corresponde a una acción rápida diferente.
3. En el cuadro de diálogo Añadir botón que aparece, configura la acción rápida (Analizar hash):
   • Nombre: Scan Hash
   • Color del botón: elige un color.
   • Acción: selecciona Analizar hash en la sección VirusTotal de la lista Acción.
   • Opcional: elige la instancia correspondiente de VirusTotal.
   • Opcional: En Parámetros, defina el parámetro Hash:
     Hash: [Case.FileHash]
4. En el cuadro de diálogo Añadir botón, haz clic en Cerrar.
5. En el panel lateral Acciones rápidas, haz clic en Guardar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.