对支持请求采取行动

支持的平台:

本文档概述了您可以对支持请求执行的各种操作,包括更新支持请求的状态或优先级、管理关联的提醒、生成报告,以及采取单个或批量操作来简化支持请求处理流程。

将支持请求标记为重要

如果您想突出显示某个支持请求,可将其标记为重要。您还可以通过同一菜单移除重要标记。

如需将支持请求标记为重要,请按以下步骤操作:

  • 点击 format_list_bulleted 支持请求操作,选择要标记的支持请求,然后选择标记为重要;支持请求旁边会显示一个黄色 arrow_drop_up

将支持请求标记为突发事件

如果您负责处理的客服请求非常紧急,需要立即采取行动,请将其标记为突发事件。此功能会自动执行以下操作:

  • 将支持请求的优先级设置为严重
  • 将支持请求阶段更改为 Incident
  • 将支持请求分配给 SOC 经理
  • 向所有分析师发送通知

如需将支持请求标记为突发事件,请按以下步骤操作:

  1. 支持请求页面上,前往相关支持请求。
  2. 依次点击 format_list_bulleted 支持请求操作支持请求
  3. 确认对话框中,点击。页面会刷新,新突发事件会显示在支持请求列表中,并带有突发事件图标和红色严重程度边栏。系统会自动将支持请求分配给具有 SOC 管理员角色的用户。

更改支持请求阶段

如果您被分配了支持请求,可以根据团队的工作流程更新其阶段。 

如需更改支持请求阶段,请按以下步骤操作:

  1. 从队列中选择一个支持请求。
  2. 依次点击 format_list_bulleted 诉讼操作阶段
  3. 选择以下阶段之一:
    • 初步诊断:创建支持请求后的初始阶段。这是默认设置。
    • 评估:支持请求已升级到下一层级,等待评估。
    • 调查:系统已为相应支持请求分配了对提醒和实体的有效调查。 
    • 改进:相应支持请求被标记为需要改进 SOC 检测规则或进行后续审核。 
    • 研究:系统会针对贵组织的外部访问或威胁行为指派专人进行深入调查。
    • 突发事件:严重事件的最终支持请求阶段。选择突发事件后,您将无法更改。
  4. 点击保存

更改支持请求的优先级

如需更改支持请求的优先级,请按以下步骤操作:

  1. 从队列中选择一个支持请求。
  2. 点击 format_list_bulleted 支持请求操作,然后选择优先级
  3. 选择以下任一等级,每个等级都有相应的机箱颜色指示器:
    • 信息丰富(灰色)
    • (蓝色)
    • 中等(黄色)
    • (橙色)
    • 严重(红色)
  4. 点击确定。支持请求的优先级已更改。
  5. 可选:点击色样可更改支持服务请求栏的颜色。

下载病例报告

您可以下载 DOC、XLSX 或 CSV 格式的支持请求报告。报告包含以下详细信息:

  • 支持请求详情
  • 提醒、实体和数据洞见
  • 用户和系统活动
  • playbook 操作和支持请求活动
  • 案例墙中包含的所有条目

如需下载报告,请按以下步骤操作:

  1. 从队列中选择一个支持请求。
  2. 依次点击 format_list_bulleted 支持请求操作报告
  3. 选择报告类型对话框中,选择文件类型,然后点击选择
  4. 打开下载的文件即可查看报告。

管理支持请求中的提醒

如需管理支持请求中的特定提醒,请执行以下操作:

  1. 提醒选项菜单的案例页面 > 提醒标签页中,依次点击 more_vert 提醒选项
  2. 选择一个可用选项:
    • 探索提醒:如需详细了解提醒结果页面,请点击调查提醒
    • 将提醒作为测试案例注入:点击将提醒作为测试案例注入,向系统添加新的测试案例。系统会将其标记为测试用例,以便进行识别。从信息中心和报告中排除的提取的提醒不会与其他提醒归为一组。
    • 更改优先级:我们建议您更改提醒的优先级,而不是支持请求的优先级。更改提醒优先级不会影响支持请求的优先级。如需了解详情,请参阅更改提醒优先级,而不是支持请求优先级
    • 移动提醒:如果您负责的案例包含多个提醒,您可以选择将提醒移至新案例将提醒移至现有案例。如果您选择将提醒移至现有支持请求,请从菜单中选择目标支持请求,然后点击移动
    • 管理提醒检测规则:仅面向 Google Security Operations 用户提供。
      • 如果该规则是预定义的 Google SecOps 规则,系统会将您重定向到规则检测页面。如需了解详情,请参阅在“规则检测”视图中过滤数据
      • 如果该规则是自定义规则,系统会将您重定向到规则编辑器页面。如需了解详情,请参阅使用规则编辑器管理规则
      • 关闭提醒:关闭支持请求中的提醒。从原因根本原因实用性字段中选择一个值。
        • 实用性字段仅针对 Google SecOps 用户显示,可帮助规则分析师根据客户输入内容获得有关提醒规则的更精确反馈。
        • 相应支持请求中的已关闭提醒会显示为不可用,并显示已关闭标记。只有当相应支持请求中存在其他提醒,且该提醒已分配给您时,您才能关闭该提醒。
      • 添加实体:手动向提醒添加现有实体或新实体。

在支持请求中执行手动操作

从 Google Security Operations Marketplace 安装相应集成后,手动操作和 playbook 操作即可供您使用。

如需在支持请求中运行手动操作,请按以下步骤操作:

  1. 在所选支持请求中,点击 manualactionicon 手动操作
  2. 手动操作对话框中,选择所需的操作。例如,选择 VirusTotalV3 > 丰富网址。输入所需信息。
  3. 选择相应操作应应用于哪些提醒和实体。
  4. 点击执行以在案例墙上显示操作详情。

在 Google SecOps 中模拟支持请求

您可以模拟一个填充了系统生成的默认提醒的案例。模拟情况在预生产环境或演示中非常有用。

您还可以使用带有 `.CASE` 后缀的文件创建自定义案例,或以 JSON 格式导入现有案例。

如需模拟支持请求,请按以下步骤操作:

  1. 支持请求队列标题中,点击 添加支持请求,然后选择模拟支持请求
  2. 模拟支持请求对话框中,从列表中选择一个支持请求。
  3. 点击创建

创建新支持请求

如需创建新的模拟支持请求,请按以下步骤操作:

  1. 模拟情况对话框中,依次点击 添加或导入情况添加新情况
  2. 添加新用例对话框中,输入来源/SIEM 名称规则名称(规则生成器)、提醒产品提醒名称事件名称
  3. 您还可以选择提供以下信息:
    • 更多提醒字段
    • 其他事件字段
  4. 点击保存。相应案例会显示在模拟案例列表中。
  5. 选择新创建的支持请求,然后点击创建
  6. 选择目标环境,然后点击模拟。新支持请求会显示在队列中。

将支持请求导出到 JSON 文件

如需将支持请求导出到 JSON 文件,请按以下步骤操作:

  1. 模拟案例对话框中,依次点击 添加或导入案例导入案例
  2. 选择所需支持请求,然后点击打开。以 JSON 格式导入支持请求。

对多个支持请求执行批量操作

您可以在搜索页面上对多个支持请求执行批量操作。

可用的批量操作包括:

  • 导出为 CSV:以 CSV 格式下载所选支持请求及其元数据的列表,以便进行离线查看或报告。
  • 关闭支持请求:您可以使用各种界面选项关闭支持请求,包括支持请求详情页面、支持请求队列(并排视图和列表视图)以及“搜索”页面。问题解决后,您可以关闭支持请求。
  • 重新打开支持请求:重新打开之前已关闭的支持请求,以继续调查或采取后续行动。
  • 更改优先级:更新所选支持请求的优先级(低、中、高或严重),以反映紧急程度或严重程度。
  • 分配支持请求:将支持请求分配给特定用户或群组,以便进一步调查。
  • 添加标记:将一个或多个标记应用于所选支持过滤、分类或自动化规则的客服请求。
  • 合并支持请求:将多个相关支持请求合并为一个支持请求,以减少重复并集中进行调查。
  • 更改阶段:更新所选支持请求的阶段,以反映其进度或状态。

如需执行批量操作,请按以下步骤操作:

  1. 前往调查,然后点击 SOAR 搜索
  2. 选择相关支持请求的时间范围。
  3. 选择使用所需过滤条件的工单。
  4. 选中复选框以应用相关过滤条件 > 点击应用
  5. 结果列表中,选中要修改的支持请求对应的复选框。
  6. 搜索结果菜单中选择一项操作。

快速操作

借助快速操作 widget,您可以定义可重用的操作,并直接从案例和提醒中执行这些操作。您可以将此 widget 添加到默认案例视图、默认提醒视图以及 playbook 中的自定义提醒视图。

为快捷操作定义参数是可选操作。如果提供了这些提示,您可以在执行之前查看和修改它们。如果留空,则必须在运行时填写参数。

如果在配置快速操作后移除了某项集成,相应的快速操作按钮会被隐藏,并且 widget 会在配置视图中标记为缺少集成。

如需了解设置说明,请参阅以下内容:

用例:配置用于恶意文件调查的快捷操作

此用例展示了如何创建快速操作,以帮助调查支持请求中可能包含的恶意文件。

添加“快速操作”widget

  1. 前往 SOAR 设置 > 案例数据 > 视图
  2. 选择默认案例视图
  3. 选择常规标签页。
  4. 快速操作 widget 拖动到默认案例视图中。

配置 widget

  1. 依次点击设置 配置
  2. 快捷操作侧边抽屉式菜单中,输入 File Investigation 作为 widget 标题。
  3. 对于 widget 说明,请输入 Quickly scan file hashes.
  4. 可选:选择 widget 宽度。
  5. 点击高级设置
  6. 条件部分,定义显示 widget 的条件。如需仅在支持请求标记为 malicious-file 时显示 widget,请使用条件 Case.Tags 包含 malicious-file

添加“扫描哈希”按钮

  1. 文本中,您可以直接在 widget 内提供说明或背景信息。对于此使用情形,请添加以下文本:Use the 'Scan Hash' button to check suspicious files.
  2. 按钮中,点击 + 添加新按钮以创建新的快捷操作。您最多可以添加 6 个按钮,每个按钮对应一个不同的快捷操作。
  3. 在随即显示的添加按钮对话框中,配置快捷操作(扫描哈希):
    • 名称:扫描哈希
    • 按钮颜色:选择一种颜色。
    • 操作:从操作列表中的 VirusTotal 部分选择扫描哈希
    • 可选:为 VirusTotal 选择相关的实例
    • 可选:在参数中,定义 Hash 参数:
      Hash[Case.FileHash]
  4. 添加按钮对话框中,点击关闭
  5. 快捷操作侧边抽屉式菜单中,点击保存

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。