Realizar ações em um caso

Compatível com:

Este documento descreve as várias ações que você pode realizar em um caso, incluindo atualizar o status ou a prioridade, gerenciar alertas associados, gerar relatórios e realizar ações individuais ou em massa para agilizar o tratamento de casos.

Marcar um caso como importante

Quando você quer destacar um caso, é possível marcá-lo como importante. Você também pode remover a tag Importante no mesmo menu.

Para marcar um caso como importante, siga estas etapas:

  • Clique em format_list_bulleted Ações do caso, selecione um caso para marcar e clique em Marcar como importante. Uma arrow_drop_up amarela vai aparecer com o caso.

Marcar um caso como um incidente

Se um caso atribuído a você for urgente e exigir ação imediata, marque-o como um incidente. Isso faz o seguinte automaticamente:

  • Define a prioridade do caso como Crítica
  • Muda a etapa do caso para Incidente
  • Atribui o caso ao gerente do SOC
  • Envia uma notificação para todos os analistas

Para marcar um caso como um incidente, siga estas etapas:

  1. Na página Casos, acesse o caso relevante.
  2. Clique em format_list_bulleted Ações do caso e selecione Incidente.
  3. Na caixa de diálogo Confirmação, clique em Sim. A página é atualizada e o novo incidente aparece na lista de casos com o ícone de incidente e uma barra lateral vermelha crítica. O caso é atribuído automaticamente a um usuário com a função de gerente do SOC.

Mudar a etapa do caso

Se você receber um caso, poderá atualizar a etapa dele com base no fluxo de trabalho da sua equipe. 

Para mudar o estágio de um caso, siga estas etapas:

  1. Selecione um caso na fila.
  2. Clique em format_list_bulleted Ações do caso e selecione Etapa.
  3. Selecione uma das seguintes etapas:
    • Triagem: fase inicial em que o caso é criado. Esse é o padrão.
    • Avaliação: o caso é encaminhado para o próximo nível para avaliação.
    • Investigação: o caso recebe uma investigação ativa de alertas e entidades. 
    • Melhoria: o caso é sinalizado para refinar as regras de detecção da SOC ou para uma análise de acompanhamento. 
    • Pesquisa: o caso recebe uma investigação mais detalhada sobre acesso externo ou comportamento de ameaça à sua organização.
    • Incidente: o estágio final do caso para eventos críticos. Depois de selecionar Incidente, não é possível mudar.
  4. Clique em Salvar.

Mudar a prioridade do caso

Para mudar a prioridade de um caso, siga estas etapas:

  1. Selecione um caso na fila.
  2. Clique em format_list_bulleted Ações do caso e selecione Prioridade.
  3. Escolha um dos seguintes níveis, cada um com um indicador de cor de caso correspondente:
    • Informativa (cinza)
    • Baixa (azul)
    • Média (amarelo)
    • Alta (laranja)
    • Crítico (vermelho)
  4. Clique em OK. A prioridade do caso é alterada.
  5. Opcional: clique na amostra de cor para mudar a cor da barra de maiúsculas.

Baixar um relatório de caso

É possível fazer o download de um relatório de caso nos formatos DOC, XLSX ou CSV. Os relatórios incluem os seguintes detalhes:

  • Detalhes do caso
  • Alertas, entidades e insights
  • Atividades do usuário e do sistema
  • Ações do playbook e atividade do caso
  • Todas as entradas incluídas no mural de casos

Para baixar um relatório, siga estas etapas:

  1. Selecione um caso na fila.
  2. Clique em format_list_bulleted Ações de caso e selecione Relatório.
  3. Na caixa de diálogo Selecionar tipo de relatório, escolha o tipo de arquivo e clique em Selecionar.
  4. Abra o arquivo baixado para ver o relatório.

Gerenciar alertas em um caso

Para gerenciar alertas específicos em um caso, faça o seguinte:

  1. No menu Opções de alerta, página Casos > guia Alerta, clique em more_vert Opções de alerta.
  2. Selecione uma das opções disponíveis:
    • Explorar alerta: para mais informações sobre a página Resultados de alertas, clique em Investigar um alerta.
    • Ingerir alerta como um caso de teste: clique em Ingerir alerta como um caso de teste para adicionar um novo caso de teste ao sistema. O sistema marca como um caso de teste para identificação. Alertas ingeridos excluídos de painéis e relatórios e não agrupados com outros alertas.
    • Mudar a prioridade:recomendamos mudar a prioridade do alerta, não do caso. Mudar a prioridade do alerta não afeta a prioridade do caso. Para mais informações, consulte Mude a prioridade do alerta em vez da prioridade do caso.
    • Mover alerta: se você receber um caso com vários alertas, poderá mover o alerta para um novo caso ou mover o alerta para um caso atual. Se você selecionar Mover alerta para um caso aberto, escolha o caso de destino no menu e clique em Mover.
    • Gerenciar regra de detecção de alertas: disponível apenas para usuários do Google Security Operations.
      • Se a regra for uma regra predefinida do Google SecOps, o sistema vai redirecionar você para a página Detecção de regras. Para mais informações, consulte Filtrar dados na visualização de detecções de regras.
      • Se a regra for do cliente, o sistema vai redirecionar você para a página Editor de regras. Para mais informações, consulte Gerenciar regras usando o editor de regras.
      • Fechar alerta:fecha o alerta no caso. Selecione um valor no campo Motivo, Causa principal ou Utilidade.
        • O campo Utilidade aparece apenas para usuários do Google SecOps e ajuda os analistas de regras a receber feedback mais preciso sobre regras de alerta com base na entrada do cliente.
        • Os alertas encerrados em um caso aparecem como indisponíveis e mostram uma tag Encerrado. Só é possível encerrar um alerta se houver outros alertas no caso e ele estiver atribuído a você.
      • Adicionar entidade:adicione manualmente uma entidade nova ou já existente a um alerta.

Executar uma ação manual em um caso

As ações manuais e de playbook ficam disponíveis depois que você instala a integração correspondente no Google Security Operations Marketplace.

Para executar uma ação manual em um caso, siga estas etapas:

  1. No caso selecionado, clique em manualactionicon Ação manual.
  2. Na caixa de diálogo Ação manual, selecione a ação necessária. Por exemplo, selecione VirusTotalV3 > Enriquecer URL. Digite as informações necessárias.
  3. Selecione os alertas e as entidades a que a ação deve ser aplicada.
  4. Clique em Executar para mostrar os detalhes da ação no mural do caso.

Simular casos no Google SecOps

Você pode simular um caso preenchido com alertas padrão gerados pelo sistema. Os casos simulados são úteis em ambientes de teste ou para demonstrações.

Também é possível criar casos personalizados ou importar casos atuais no formato JSON usando arquivos com o sufixo `.CASE`.

Para simular um caso, siga estas etapas:

  1. No cabeçalho Fila de casos, clique em Adicionar um caso e selecione Simular casos.
  2. Na caixa de diálogo Simular casos, selecione um caso na lista.
  3. Clique em Criar.

Criar um novo caso

Para criar um novo caso simulado, siga estas etapas:

  1. Na caixa de diálogo Simular casos, clique em Adicionar ou importar caso e em Adicionar novo caso.
  2. Na caixa de diálogo Adicionar novo caso, insira o Nome da fonte/SIEM, o Nome da regra (gerador de regras), o Produto de alerta, o Nome do alerta e o Nome do evento.
  3. Também é possível fornecer:
    • Outros campos de alerta
    • Outros campos de evento
  4. Clique em Salvar. O caso aparece na lista Simular casos.
  5. Selecione o caso recém-criado e clique em Criar.
  6. Selecione o ambiente de destino e clique em Simular. O novo caso aparece na fila.

Importar um caso para um arquivo JSON

Para importar um caso para um arquivo JSON, siga estas etapas:

  1. Na caixa de diálogo Simular casos, clique em Adicionar ou importar caso, e em Importar caso.
  2. Selecione o caso necessário e clique em Abrir. O caso é importado no formato JSON.

Realizar ações em lote em vários casos

É possível realizar ações em lote em vários casos na página Pesquisa.

As ações em lote disponíveis incluem:

  • Exportar para CSV: baixa uma lista de casos selecionados e os metadados deles no formato CSV para análise ou geração de relatórios off-line.
  • Encerrar caso: é possível encerrar casos usando várias opções de interface, incluindo a página de detalhes do caso, a fila de casos (visualizações lado a lado e em lista) e a página de pesquisa. Você pode encerrar um caso depois que ele for resolvido.
  • Reabrir caso: reabre casos fechados anteriormente para retomar a investigação ou ações de acompanhamento.
  • Mudar prioridade: atualiza o nível de prioridade (baixa, média, alta ou crítica) dos casos selecionados para refletir a urgência ou a gravidade.
  • Atribuir caso: atribui um caso a um usuário ou grupo específico para investigação.
  • Adicionar tag: aplica uma ou mais tags aos casos selecionados para oferecer suporte a regras de filtragem, categorização ou automação.
  • Mesclar casos: combina vários casos relacionados em um só para reduzir a duplicação e centralizar a investigação.
  • Mudar etapa: atualiza a etapa dos casos selecionados para refletir o progresso ou status deles.

Para realizar uma ação em lote, siga estas etapas:

  1. Acesse Investigação e clique em Pesquisa do SOAR.
  2. Selecione o período dos casos relevantes.
  3. Selecione os casos usando o filtro necessário.
  4. Marque as caixas de seleção para aplicar os filtros relevantes > Aplicar.
  5. Na lista Resultados, marque as caixas de seleção dos casos que você quer modificar.
  6. Selecione uma ação no menu Resultados da pesquisa.

Ações rápidas

Com o widget Ações rápidas, você define ações reutilizáveis que podem ser executadas diretamente em casos e alertas. É possível adicionar esse widget à visualização padrão de casos, à visualização padrão de alertas e às visualizações personalizadas de alertas nos playbooks.

Definir parâmetros para ações rápidas é opcional. Se fornecidas, você pode revisar e modificar as instruções antes da execução. Se ficar em branco, os parâmetros precisarão ser preenchidos no tempo de execução.

Se uma integração for removida depois que uma ação rápida for configurada, o botão Ação rápida correspondente será ocultado, e o widget será sinalizado na visualização de configuração para indicar uma integração ausente.

Para instruções de configuração, consulte:

Caso de uso: configurar uma ação rápida para investigação de arquivos maliciosos

Este caso de uso mostra como criar uma ação rápida que ajuda a investigar arquivos potencialmente maliciosos em um caso.

Adicionar o widget Ações rápidas

  1. Acesse Configurações do SOAR > Dados de caso > Visualizações.
  2. Selecione Visualização padrão de caso.
  3. Selecione a guia Geral.
  4. Arraste o widget Ações rápidas para a Visualização padrão de caso.

Configurar o widget

  1. Clique em settings Configuration.
  2. Na gaveta lateral Ações rápidas, insira File Investigation como título do widget.
  3. Na descrição do widget, insira Quickly scan file hashes..
  4. Opcional: escolha uma largura para o widget.
  5. Clique em Configurações avançadas.
  6. Na seção Condições, defina os critérios para mostrar o widget. Para mostrar o widget apenas quando um caso for marcado com malicious-file, use a condição Case.Tags contém malicious-file.

Adicionar um botão "Verificar hash"

  1. Em Texto, você pode fornecer instruções ou contexto diretamente no widget. Para este caso de uso, adicione o seguinte texto: Use the 'Scan Hash' button to check suspicious files.
  2. Em Botões, clique em + Adicionar novo botão para criar uma nova ação rápida. É possível adicionar até seis botões, cada um correspondendo a uma ação rápida diferente.
  3. Na caixa de diálogo Adicionar botão, configure a ação rápida (Verificar hash):
    • Nome: hash da verificação
    • Cor do botão: escolha uma cor.
    • Ação: selecione Verificar hash na seção "VirusTotal" da lista Ação.
    • Opcional: escolha a instância relevante para o VirusTotal.
    • Opcional: em Parâmetros, defina o parâmetro Hash:
      Hash:[Case.FileHash]
  4. Na caixa de diálogo Adicionar botão, clique em Fechar.
  5. No painel lateral Ações rápidas, clique em Salvar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.