ケースに対してアクションを行う

以下でサポートされています。

このドキュメントでは、ケースに対して実行できるさまざまなアクションについて説明します。たとえば、ステータスや優先度の更新、関連するアラートの管理、レポートの生成、ケース処理を効率化するための個別の操作や一括操作などです。

ケースに重要マークを付ける

ケースをハイライト表示したい場合は、重要マークを付けることができます。同じメニューから [重要] タグを削除することもできます。

ケースを重要としてマークする手順は次のとおりです。

  • format_list_booted [ケースのアクション] をクリックし、タグ付けするケースを選択して、[重要としてマーク] を選択します。ケースの横に黄色の arrow_drop_up が表示されます。

ケースをインシデントとしてマークする

割り当てられたケースが緊急で、早急な対応が必要な場合は、[インシデント] としてマークします。この機能により、次のことが自動的に行われます。

  • ケースの優先度を [Critical] に設定します。
  • ケースのステージを [インシデント] に変更します。
  • ケースを SOC マネージャーに割り当てます
  • すべてのアナリストに通知を送信します

ケースをインシデントとしてマークする手順は次のとおりです。

  1. [ケース] ページで、関連するケースに移動します。
  2. [ format_list_bulleted ケース アクション] をクリックし、[インシデント] を選択します。
  3. [Confirmation] ダイアログで [Yes] をクリックします。ページが更新され、新しいインシデントがインシデント アイコンと赤い重大度サイドバーとともにケースリストに表示されます。ケースは、SOC マネージャーのロールを持つユーザーに自動的に割り当てられます。

ケースのステージを変更する

ケースが割り当てられたら、チームのワークフローに基づいてケースのステージを更新できます。 

ケースのステージを変更する手順は次のとおりです。

  1. キューからケースを選択します。
  2. format_list_bulleted [ケース アクション] をクリックし、[ステージ] を選択します。
  3. 次のいずれかのステージを選択します。
    • トリアージ: ケースが作成された初期フェーズ。これがデフォルトです。
    • Assessment(評価): 評価のため、ケースが次の階層にエスカレーションされます。
    • 調査中: アラートとエンティティの調査が進行中のケース。 
    • 改善: SOC 検出ルールの改善またはフォローアップ レビューのためにケースにフラグが付けられます。 
    • 調査: 組織への外部アクセスや脅威の動作に関する詳細な調査がケースに割り当てられます。
    • インシデント: 重要なイベントの最終的なケース ステージ。[インシデント] を選択すると、変更できなくなります。
  4. [保存] をクリックします。

ケースの優先度を変更する

ケースの優先度を変更する手順は次のとおりです。

  1. キューからケースを選択します。
  2. [ format_list_bulleted ] [ケース アクション] をクリックし、[優先度] を選択します。
  3. 次のいずれかのレベルを選択します。各レベルには、対応するケースの色インジケーターがあります。
    • Informative(グレー)
    • Low(青)
    • (黄色)
    • (オレンジ)
    • 重大(赤)
  4. [OK] をクリックします。ケースの優先度が変更されます。
  5. 省略可: 色見本をクリックして、ケースバーの色を変更します。

ケースレポートをダウンロードする

ケースレポートは DOC、XLSX、CSV 形式でダウンロードできます。レポートには次の詳細が含まれます。

  • ケースの詳細
  • アラート、エンティティ、分析情報
  • ユーザーとシステムのアクティビティ
  • ハンドブックのアクションとケースのアクティビティ
  • ケースウォールに含まれるすべてのエントリ

レポートをダウンロードする手順は次のとおりです。

  1. キューからケースを選択します。
  2. format_list_booted [ケース アクション] をクリックし、[レポート] を選択します。
  3. [レポートの種類を選択] ダイアログで、ファイル形式を選択して [選択] をクリックします。
  4. ダウンロードしたファイルを開いてレポートを表示します。

ケース内のアラートを管理する

ケース内の特定のアラートを管理するには、次の操作を行います。

  1. [アラート オプション] メニューの [ケース] ページ > [アラート] タブで、 more_vert [アラート オプション] をクリックします。
  2. 使用可能なオプションを 1 つ選択します。
    • アラートの詳細: [アラートの結果] ページの詳細については、アラートを調査するをクリックしてください。
    • アラートをテストケースとして取り込む: [アラートをテストケースとして取り込む] をクリックして、新しいテストケースをシステムに追加します。システムは、識別のためにこれをテストケースとしてマークします。取り込まれたアラートはダッシュボードとレポートから除外され、他のアラートとグループ化されません。
    • 優先度を変更する: ケースの優先度ではなく、アラートの優先度を変更することをおすすめします。アラートの優先度を変更しても、ケースの優先度には影響しません。詳細については、ケースの優先度ではなくアラートの優先度を変更するをご覧ください。
    • アラートを移動: 複数のアラートを含むケースが割り当てられている場合は、アラートを新しいケースに移動するか、アラートを既存のケースに移動できます。[アラートを既存のケースに移動] を選択した場合は、メニューから移動先のケースを選択して [移動] をクリックします。
    • アラート検出ルールを管理する: Google Security Operations ユーザーのみが利用できます。
      • ルールが事前定義された Google SecOps ルールの場合、システムは [ルールの検出] ページにリダイレクトします。詳細については、ルール検出ビューでデータをフィルタするをご覧ください。
      • ルールがカスタムルールの場合、システムは [ルールエディタ] ページにリダイレクトします。詳しくは、ルールエディタを使用してルールを管理するをご覧ください。
      • アラートをクローズ: ケース内のアラートをクローズします。[理由]、[根本的な原因]、[有用性] のいずれかのフィールドから値を選択します。
        • [有用性] フィールドは Google SecOps ユーザーにのみ表示され、ルール アナリストが顧客の入力からアラートルールに関するより正確なフィードバックを得るのに役立ちます。
        • ケース内の終了したアラートは使用不可と表示され、[終了] タグが表示されます。アラートをクローズできるのは、ケースに他のアラートが存在し、そのアラートが自分に割り当てられている場合のみです。
      • Add Entity: 既存または新しいエンティティをアラートに手動で追加します。

ケースで手動による対策を実行する

手動アクションとハンドブック アクションは、Google Security Operations Marketplace から対応する統合をインストールすると使用できるようになります。

ケースで手動アクションを実行する手順は次のとおりです。

  1. 選択したケースで、manualactionicon [手動での対応] をクリックします。
  2. [Manual Action] ダイアログで、必要なアクションを選択します。たとえば、[VirusTotalV3 > Enrich URL] を選択します。必要な情報を入力します。
  3. アクションを適用するアラートとエンティティを選択します。
  4. [実行] をクリックして、ケースウォールにアクションの詳細を表示します。

Google SecOps でケースをシミュレートする

システム生成のデフォルト アラートが入力されたケースをシミュレートできます。シミュレートされたケースは、ステージング環境やデモンストレーションで役立ちます。

カスタムケースを作成したり、`.CASE` 接尾辞の付いたファイルを使用して JSON 形式で既存のケースをインポートすることもできます。

ケースをシミュレートする手順は次のとおりです。

  1. [ケースキュー] ヘッダーで、 [ケースを追加] をクリックし、[ケースをシミュレート] を選択します。
  2. [ケースのシミュレート] ダイアログで、リストからケースを選択します。
  3. [Create] をクリックします。

ケースを新規作成する

新しいシミュレートされたケースを作成する手順は次のとおりです。

  1. [ケースのシミュレーション] ダイアログで、 [ケースを追加またはインポート] をクリックし、[新しいケースを追加] をクリックします。
  2. [Add New Case] ダイアログで、[Source/SIEM Name]、[Rule Name](ルール ジェネレータ)、[Alert Product]、[Alert Name]、[Event Name] を入力します。
  3. 必要に応じて、次の情報も指定できます。
    • 追加のアラート フィールド
    • 追加のイベント フィールド
  4. [保存] をクリックします。ケースが [ケースをシミュレートする] リストに表示されます。
  5. 新しく作成したケースを選択し、[作成] をクリックします。
  6. ターゲット環境を選択して、[シミュレート] をクリックします。新しいケースがキューに表示されます。

ケースを JSON ファイルにインポートする

ケースを JSON ファイルにインポートする手順は次のとおりです。

  1. [Simulate Cases] ダイアログで、 [Add or import case] をクリックし、[Import Case] をクリックします。
  2. 必要なケースを選択し、[開く] をクリックします。ケースは JSON 形式でインポートされます。

複数のケースに対して一括操作を実行する

[検索] ページで、複数のケースに対して一括操作を実行できます。

使用可能なバッチ アクションは次のとおりです。

  • CSV にエクスポート: 選択したケースとそのメタデータのリストを CSV 形式でダウンロードし、オフラインでの確認やレポート作成に使用します。
  • ケースをクローズする: ケースの詳細ページ、ケースキュー(並べて表示とリスト表示)、検索ページなど、さまざまなインターフェース オプションを使用してケースをクローズできます。ケースは解決したらクローズできます。
  • ケースを再開: 以前にクローズしたケースを再開して、調査やフォローアップ アクションを再開します。
  • 優先度を変更: 選択したケースの優先度レベル(低、中、高、重大)を更新して、緊急度または重大度を反映します。
  • Assign case: ケースを特定のユーザーまたはグループに割り当てて、さらに調査します。
  • タグを追加: 選択したケースに 1 つ以上のタグを適用して、フィルタリング、カテゴリ分け、自動化ルールをサポートします。
  • ケースの統合: 複数の関連するケースを 1 つのケースに統合して、重複を減らし、調査を一元化します。
  • ステージを変更: 選択したケースのステージを更新して、進行状況やステータスを反映します。

バッチ処理を行う手順は次のとおりです。

  1. [調査] に移動し、[SOAR 検索] をクリックします。
  2. 関連するケースの期間を選択します。
  3. 必要なフィルタを使用してケースを選択します。
  4. チェックボックスをオンにして関連するフィルタを適用 > [適用] をクリックします。
  5. [結果] リストで、変更するケースのチェックボックスをオンにします。
  6. [検索結果] メニューからアクションを選択します。

クイック操作

クイック アクション ウィジェットを使用すると、ケースとアラートから直接実行できる再利用可能なアクションを定義できます。このウィジェットは、デフォルトのケースビュー、デフォルトのアラートビュー、ハンドブック内のカスタム アラートビューに追加できます。

クイック アクションのパラメータの定義は任意です。提供された場合は、実行前に確認して変更できます。空白のままにした場合、パラメータは実行時に指定する必要があります。

クイック アクションの構成後にインテグレーションが削除されると、対応するクイック アクション ボタンが非表示になり、構成ビューでウィジェットにインテグレーションが不足していることを示すフラグが設定されます。

設定手順については、以下をご覧ください。

ユースケース: 悪意のあるファイルの調査用にクイック アクションを構成する

このユースケースでは、ケース内の悪意のある可能性のあるファイルを調査するのに役立つクイック アクションを作成する方法について説明します。

クイック操作ウィジェットを追加する

  1. [SOAR 設定] > [ケースデータ] > [ビュー] に移動します。
  2. [デフォルト ケースビュー] を選択します。
  3. [General] タブを選択します。
  4. [クイック アクション] ウィジェットを [デフォルトのケースビュー] にドラッグします。

ウィジェットを構成する

  1. [設定] [構成] をクリックします。
  2. [Quick Actions] サイドドロワーで、ウィジェットのタイトルに「File Investigation」と入力します。
  3. ウィジェットの説明に Quickly scan file hashes. と入力します。
  4. 省略可: ウィジェットの幅を選択します。
  5. [詳細設定] をクリックします。
  6. [条件] セクションで、ウィジェットを表示する条件を定義します。ケースに malicious-file のタグが付いている場合にのみウィジェットを表示するには、条件 Case.Tagsmalicious-file が含まれるを使用します。

[Scan Hash] ボタンを追加

  1. [Text] では、ウィジェット内で直接指示やコンテキストを指定できます。このユースケースでは、次のテキストを追加します。Use the 'Scan Hash' button to check suspicious files.
  2. [Buttons] で、[+ Add New Button] をクリックして新しいクイック アクションを作成します。最大 6 個のボタンを追加できます。各ボタンはそれぞれ異なるクイック アクションに対応します。
  3. 表示された [ボタンを追加] ダイアログで、クイック アクション(ハッシュをスキャン)を構成します。
    • 名前: Scan Hash
    • ボタンの色: 色を選択します。
    • アクション: [アクション] リストの VirusTotal セクションから [ハッシュをスキャン] を選択します。
    • 省略可: VirusTotal の関連するインスタンスを選択します。
    • 省略可: [パラメータ] で、ハッシュ パラメータを定義します。
      ハッシュ: [Case.FileHash]
  4. [ボタンを追加] ダイアログで、[閉じる] をクリックします。
  5. [Quick Actions] サイドドロワーで、[Save] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。