Eseguire azioni su una richiesta

Questo documento descrive le varie azioni che puoi eseguire su una richiesta, tra cui l'aggiornamento dello stato o della priorità, la gestione degli avvisi associati, la generazione di report e l'esecuzione di azioni individuali o collettive per semplificare la gestione delle richieste.

Contrassegnare una richiesta come importante

Quando vuoi mettere in evidenza una richiesta, puoi contrassegnarla come importante. Puoi anche rimuovere il tag Importante dallo stesso menu.

Per contrassegnare una richiesta come importante:

• Fai clic su format_list_bulleted Azioni relative alla richiesta, seleziona una richiesta da taggare e seleziona Contrassegna come importante; accanto alla richiesta viene visualizzata una freccia gialla arrow_drop_up .

Contrassegnare una richiesta come incidente

Se una richiesta che ti è stata assegnata è urgente e richiede un intervento immediato, contrassegnala come incidente. Questa operazione:

• Imposta la priorità della richiesta su Critica
• Cambia la fase della richiesta in Incidente
• Assegna la richiesta al responsabile del SOC
• Invia una notifica a tutti gli analisti

Per contrassegnare una richiesta di assistenza come incidente:

1. Nella pagina Richieste, vai alla richiesta pertinente.
2. Fai clic su format_list_bulleted Azioni per la richiesta e seleziona Richiesta.
3. Nella finestra di dialogo Conferma, fai clic su Sì. La pagina viene aggiornata e il nuovo incidente viene visualizzato nell'elenco delle richieste con l'icona dell'incidente e una barra laterale rossa di gravità critica. La richiesta viene assegnata automaticamente a un utente con il ruolo Responsabile SOC.

Modificare la fase della richiesta

Se ti viene assegnata una richiesta, puoi aggiornarne la fase in base al flusso di lavoro del tuo team. 

Per modificare una fase della richiesta:

1. Seleziona una richiesta dalla coda.
2. Fai clic su format_list_bulleted Azioni della richiesta e seleziona Stato.
3. Seleziona una delle seguenti fasi:
   • Triage: fase iniziale in cui viene creata la richiesta. Questa è l'impostazione predefinita.
   • Valutazione: la richiesta viene riassegnata al livello successivo per la valutazione.
   • Indagine: al caso viene assegnata un'indagine attiva di avvisi ed entità. 
   • Miglioramento: il caso è contrassegnato per perfezionare le regole di rilevamento del SOC o per un esame di follow-up. 
   • Ricerca: al caso viene assegnata un'indagine più approfondita sull'accesso esterno o sul comportamento delle minacce alla tua organizzazione.
   • Incidente: la fase finale della richiesta per gli eventi critici. Una volta selezionato Incidente, non puoi modificarlo.
4. Fai clic su Salva.

Modificare la priorità della richiesta

Per modificare la priorità della richiesta:

1. Seleziona una richiesta dalla coda.
2. Fai clic su format_list_bulleted Azioni richiesta e seleziona Priorità.
3. Scegli uno dei seguenti livelli, ognuno con un indicatore di colore della custodia corrispondente:
   • Informativa (grigio)
   • Basso (blu)
   • Medio (giallo)
   • Alto (arancione)
   • Critico (rosso)
4. Fai clic su OK. La priorità della richiesta viene modificata.
5. (Facoltativo) Fai clic sul campione di colore per cambiare il colore della barra della custodia.

Scaricare un report di una richiesta di assistenza

Puoi scaricare un report della richiesta in formato DOC, XLSX o CSV. I report includono i seguenti dettagli:

• Dettagli richiesta
• Avvisi, entità e approfondimenti
• Attività utente e di sistema
• Azioni del playbook e attività della richiesta
• Tutte le voci incluse nella bacheca richieste

Per scaricare un report:

1. Seleziona una richiesta dalla coda.
2. Fai clic su format_list_bulleted Azioni della richiesta e seleziona Report.
3. Nella finestra di dialogo Seleziona tipo di report, seleziona il tipo di file e poi fai clic su Seleziona.
4. Apri il file scaricato per visualizzare il report.

Gestire gli avvisi all'interno di una richiesta

Per gestire avvisi specifici all'interno di una richiesta:

1. Nel menu Opzioni avviso della pagina Casi > scheda Avviso, fai clic su more_vert Opzioni avviso.
2. Seleziona una delle opzioni disponibili:
• Esplora avviso: per ulteriori informazioni sulla pagina Risultati avvisi, fai clic su Indaga su un avviso.
• Importa avviso come richiesta di prova: fai clic su Importa avviso come richiesta di prova per aggiungere un nuovo scenario di test al sistema. Il sistema lo contrassegna come Scenario di test per l'identificazione. Gli avvisi importati vengono esclusi dai dashboard e dai report e non vengono raggruppati con altri avvisi.
• Modifica priorità:ti consigliamo di modificare la priorità dell'avviso anziché quella della richiesta di assistenza. La modifica della priorità dell'avviso non influisce sulla priorità della richiesta. Per saperne di più, vedi Modificare la priorità dell'avviso anziché quella della richiesta di assistenza.
• Sposta avviso: se ti viene assegnata una richiesta con più avvisi, puoi spostare l'avviso in una nuova richiesta o spostare l'avviso in una richiesta esistente. Se selezioni Sposta avviso in una richiesta esistente, scegli la richiesta di destinazione dal menu e fai clic su Sposta.
• Gestisci regola di rilevamento avvisi: disponibile solo per gli utenti di Google Security Operations.
• Se la regola è una regola Google SecOps predefinita, il sistema ti reindirizza alla pagina Rilevamento regole. Per ulteriori informazioni, vedi Filtrare i dati nella visualizzazione Rule Detections (Rilevamento regole).
• Se la regola è una regola cliente, il sistema ti reindirizza alla pagina Editor regole. Per ulteriori informazioni, vedi Gestire le regole utilizzando l'editor di regole.
• Chiudi avviso:chiude l'avviso all'interno della richiesta. Seleziona un valore dal campo Motivo, Causa principale o Utilità.
• Il campo Utilità viene visualizzato solo per gli utenti di Google SecOps e aiuta gli analisti delle regole a ottenere feedback più precisi sulle regole di avviso in base all'input dei clienti.
• Gli avvisi chiusi in una richiesta non sono disponibili e mostrano il tag Chiuso. Puoi chiudere un avviso solo se nella richiesta sono presenti altri avvisi ed è assegnato a te.
• Aggiungi entità:aggiungi manualmente un'entità esistente o nuova a un avviso.

Eseguire un'azione manuale in una richiesta

Le azioni manuali e le azioni del playbook diventano disponibili dopo l'installazione dell'integrazione corrispondente da Google Security Operations Marketplace.

Per eseguire un'azione manuale in una richiesta:

1. Nel caso selezionato, fai clic su Azione manuale.
2. Nella finestra di dialogo Azione manuale, seleziona l'azione richiesta. Ad esempio, seleziona VirusTotalV3 > Arricchisci URL. Inserisci le informazioni richieste.
3. Seleziona gli avvisi e le entità a cui deve essere applicata l'azione.
4. Fai clic su Esegui per visualizzare i dettagli dell'azione nella bacheca della richiesta.

Simulare richieste in Google SecOps

Puoi simulare una richiesta compilata con avvisi predefiniti generati dal sistema. I casi simulati sono utili negli ambienti di staging o per le dimostrazioni.

Puoi anche creare casi personalizzati o importare casi esistenti in formato JSON utilizzando file con il suffisso `.CASE`.

Per simulare una custodia:

1. Nell'intestazione Coda delle richieste, fai clic su add Aggiungi una richiesta, poi seleziona Simula richieste.
   
2. Nella finestra di dialogo Simula casi, seleziona un caso dall'elenco.
3. Fai clic su Crea.

Crea nuova richiesta

Per creare un nuovo caso simulato:

1. Nella finestra di dialogo Simula richieste, fai clic su add Aggiungi o importa la richiesta, quindi fai clic su Aggiungi nuova richiesta.
2. Nella finestra di dialogo Aggiungi nuovo caso, inserisci il Nome origine/SIEM, il Nome regola (generatore di regole), il Prodotto di avviso, il Nome avviso e il Nome evento.
3. In via facoltativa, puoi anche fornire:
   • Altri campi per l'avviso
   • Altri campi per l'evento
4. Fai clic su Salva. La richiesta viene visualizzata nell'elenco Simula richieste.
5. Seleziona la richiesta appena creata e fai clic su Crea.
6. Seleziona l'ambiente di destinazione e fai clic su Simula. La nuova richiesta viene visualizzata nella coda.

Importare un caso in un file JSON

Per importare un caso in un file JSON:

1. Nella finestra di dialogo Simula casi, fai clic su add Aggiungi o importa la richiesta, poi fai clic su Importa richiesta.
2. Seleziona la richiesta necessaria e fai clic su Apri. La richiesta viene importata in formato JSON.

Eseguire azioni collettive su più richieste

Puoi eseguire azioni batch su più casi nella pagina Cerca.

Le azioni batch disponibili includono:

• Esporta in CSV: scarica un elenco dei casi selezionati e dei relativi metadati in formato CSV per la revisione o la generazione di report offline.
• Chiudi richiesta: puoi chiudere le richieste utilizzando varie opzioni dell'interfaccia, tra cui la pagina dei dettagli della richiesta, la coda delle richieste (visualizzazioni affiancata ed elenco) e la pagina di ricerca. Puoi chiudere una richiesta una volta risolta.
• Riapri la richiesta: riapre le richieste chiuse in precedenza per riprendere le indagini o le azioni di follow-up.
• Modifica priorità: aggiorna il livello di priorità (Bassa, Media, Alta o Critica) dei casi selezionati in modo che riflettano l'urgenza o la gravità.
• Assegna richiesta: assegna una richiesta a un utente o a un gruppo specifico per ulteriori indagini.
• Aggiungi tag: applica uno o più tag alle richieste selezionate per supportare regole di filtro, categorizzazione o automazione.
• Unisci richieste: combina più richieste correlate in un'unica richiesta per ridurre la duplicazione e centralizzare l'indagine.
• Modifica fase: aggiorna la fase delle richieste selezionate in modo che riflettano lo stato di avanzamento.

Per eseguire un'azione batch:

1. Vai a Indagine e fai clic su Ricerca SOAR.
2. Seleziona il periodo di tempo per le richieste pertinenti.
3. Seleziona le richieste utilizzando il filtro richiesto.
4. Seleziona le caselle di controllo per applicare i filtri pertinenti > Applica.
5. Nell'elenco Risultati, seleziona le caselle di controllo relative alle richieste che vuoi modificare.
6. Seleziona un'azione dal menu Risultati di ricerca.

Azioni rapide

Il widget Azioni rapide ti consente di definire azioni riutilizzabili che puoi eseguire direttamente da richieste e avvisi. Puoi aggiungere questo widget alla visualizzazione predefinita dei casi, alla visualizzazione predefinita degli avvisi e alle visualizzazioni personalizzate degli avvisi nei playbook.

La definizione dei parametri per le Azioni rapide è facoltativa. Se fornite, puoi esaminarle e modificarle prima dell'esecuzione. Se lasciati vuoti, i parametri devono essere compilati in fase di runtime.

Se un'integrazione viene rimossa dopo la configurazione di un'azione rapida, il pulsante Azione rapida corrispondente viene nascosto e il widget viene contrassegnato nella visualizzazione di configurazione per indicare un'integrazione mancante.

Per le istruzioni di configurazione, vedi quanto segue:

• Definire la visualizzazione predefinita delle richieste
• Definire la visualizzazione degli avvisi predefinita
• Definire viste degli avvisi personalizzate dal Designer di playbook

Caso d'uso: configurare l'azione rapida per l'analisi dei file dannosi

Questo caso d'uso mostra come creare un'azione rapida che aiuti a esaminare i file potenzialmente dannosi all'interno di una richiesta.

Aggiungere il widget Azioni rapide

1. Vai a Impostazioni SOAR > Dati dei casi > Viste.
2. Seleziona Visualizzazione predefinita della richiesta.
3. Seleziona la scheda Generale.
4. Trascina il widget Azioni rapide nella Visualizzazione predefinita del caso.

Configurare il widget

1. Fai clic su Impostazioni Configurazione.
2. Nel riquadro laterale Azioni rapide, inserisci File Investigation per il titolo del widget.
3. Per la descrizione del widget, inserisci Quickly scan file hashes.
4. (Facoltativo) Scegli una larghezza del widget.
5. Fai clic su Impostazioni avanzate.
6. Nella sezione Condizioni, definisci i criteri per la visualizzazione del widget. Per mostrare il widget solo quando una richiesta è taggata con malicious-file, utilizza la condizione Case.Tags contiene malicious-file.

Aggiungere un pulsante Scansiona hash

1. In Testo, puoi fornire istruzioni o contesto per direttamente all'interno del widget. Per questo caso d'uso, aggiungi il seguente testo: Use the 'Scan Hash' button to check suspicious files.
2. In Pulsanti, fai clic su + Aggiungi nuovo pulsante per creare una nuova azione rapida. Puoi aggiungere fino a sei pulsanti, ognuno corrispondente a un'azione rapida diversa.
3. Nella finestra di dialogo Aggiungi pulsante visualizzata, configura l'azione rapida (Scansiona hash):
   • Nome: Scan Hash
   • Colore pulsante: scegli un colore.
   • Azione: seleziona Scansiona hash dalla sezione VirusTotal nell'elenco Azione.
   • (Facoltativo) Scegli l'istanza pertinente per VirusTotal.
   • (Facoltativo) In Parametri, definisci il parametro Hash:
     Hash: [Case.FileHash]
4. Nella finestra di dialogo Aggiungi pulsante, fai clic su Chiudi.
5. Nel riquadro laterale Azioni rapide, fai clic su Salva.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.