Realiza acciones en un caso

Compatible con:

En este documento, se describen las diversas acciones que puedes realizar en un caso, como actualizar su estado o prioridad, administrar las alertas asociadas, generar informes y realizar acciones individuales o masivas para optimizar el manejo de casos.

Cómo marcar un caso como importante

Cuando quieras destacar un caso, puedes marcarlo como importante. También puedes quitar la etiqueta Importante desde el mismo menú.

Para marcar un caso como importante, sigue estos pasos:

  • Haz clic en format_list_bulleted Acciones del caso, selecciona un caso para etiquetar y, luego, selecciona Marcar como importante. Aparecerá una arrow_drop_up amarilla junto al caso.

Cómo marcar un caso como incidente

Si un caso que se te asignó es urgente y requiere una acción inmediata, márcalo como Incidente. Esto sucede automáticamente:

  • Establece la prioridad del caso en Crítica.
  • Cambia la etapa del caso a Incidente.
  • Asigna el caso al administrador del SOC
  • Envía una notificación a todos los analistas

Para marcar un caso como incidente, sigue estos pasos:

  1. En la página Casos, ve al caso correspondiente.
  2. Haz clic en format_list_bulleted Acciones del caso y selecciona Incidente.
  3. En el diálogo de Confirmación, haz clic en . La página se actualizará y el incidente nuevo aparecerá en la lista de casos con el ícono de incidente y una barra lateral roja de gravedad crítica. El caso se asigna automáticamente a un usuario con el rol de administrador del SOC.

Cómo cambiar la etapa del caso

Si se te asigna un caso, puedes actualizar su etapa según el flujo de trabajo de tu equipo. 

Para cambiar la etapa de un caso, sigue estos pasos:

  1. Selecciona un caso de la cola.
  2. Haz clic en format_list_bulleted Acciones del caso y selecciona Etapa.
  3. Selecciona una de las siguientes etapas:
    • Triaje: Es la fase inicial en la que se crea el caso. Esta es la opción predeterminada.
    • Evaluación: El caso se deriva al siguiente nivel para su evaluación.
    • Investigación: El caso se asigna a una investigación activa de alertas y entidades. 
    • Mejora: El caso se marca para refinar las reglas de detección del SOC o para una revisión de seguimiento. 
    • Investigación: El caso se asigna a una investigación más profunda sobre el acceso externo o el comportamiento de amenazas a tu organización.
    • Incidente: Es la etapa final del caso para los eventos críticos. Una vez que selecciones Incidente, no podrás cambiarlo.
  4. Haga clic en Guardar.

Cambia la prioridad del caso

Para cambiar la prioridad del caso, sigue estos pasos:

  1. Selecciona un caso de la cola.
  2. Haz clic en format_list_bulleted Acciones del caso y selecciona Prioridad.
  3. Elige uno de los siguientes niveles. Cada uno tiene un indicador de color de la carcasa correspondiente:
    • Informativa (gris)
    • Baja (azul)
    • Medio (amarillo)
    • Alto (naranja)
    • Crítico (rojo)
  4. Haz clic en Aceptar. Se cambió la prioridad del caso.
  5. Opcional: Haz clic en la muestra de color para cambiar el color de la barra de la caja.

Descarga un informe de caso

Puedes descargar un informe del caso en formato DOC, XLSX o CSV. Los informes incluyen los siguientes detalles:

  • Detalles del caso
  • Alertas, entidades y estadísticas
  • Actividades del usuario y del sistema
  • Acciones de la guía y actividad del caso
  • Todas las entradas incluidas en el muro del caso

Para descargar un informe, sigue estos pasos:

  1. Selecciona un caso de la cola.
  2. Haz clic en format_list_bulleted Acciones del caso y selecciona Informe.
  3. En el cuadro de diálogo Seleccionar tipo de informe, selecciona el tipo de archivo y, luego, haz clic en Seleccionar.
  4. Abre el archivo descargado para ver el informe.

Administra las alertas dentro de un caso

Para administrar alertas específicas dentro de un caso, haz lo siguiente:

  1. En el menú Opciones de alerta de la página Casos > pestaña Alerta, haz clic en more_vert Opciones de alerta.
  2. Selecciona una de las opciones disponibles:
    • Explorar alerta: Para obtener más información sobre la página Resultados de las alertas, haz clic en Investigar una alerta.
    • Ingest alert as test case: Haz clic en Ingest alert as test case para agregar un nuevo caso de prueba al sistema. El sistema lo marca como un caso de prueba para su identificación. Las alertas transferidas se excluyen de los informes y los paneles, y no se agrupan con otras alertas.
    • Cambiar la prioridad: Te recomendamos cambiar la prioridad de la alerta en lugar de la del caso. Cambiar la prioridad de la alerta no afecta la prioridad del caso. Para obtener más información, consulta Cambia la prioridad de la alerta en lugar de la prioridad del caso.
    • Transferir alerta: Si se te asigna un caso con varias alertas, puedes transferir la alerta a un caso nuevo o transferir la alerta a un caso existente. Si seleccionas Transferir la alerta a un caso existente, elige el caso de destino en el menú y haz clic en Transferir.
    • Administrar la regla de detección de alertas: Solo está disponible para los usuarios de Google Security Operations.
      • Si la regla es una regla predefinida de Google SecOps, el sistema te redireccionará a la página Detección de reglas. Para obtener más información, consulta Cómo filtrar datos en la vista de detección de reglas.
      • Si la regla es una regla del cliente, el sistema te redireccionará a la página del Editor de reglas. Para obtener más información, consulta Administra reglas con el Editor de reglas.
      • Cerrar alerta: Cierra la alerta dentro del caso. Selecciona un valor en los campos Motivo, Causa raíz o Utilidad.
        • El campo Utilidad solo aparece para los usuarios de Google SecOps y ayuda a los analistas de reglas a obtener comentarios más precisos sobre las reglas de alertas a partir de las opiniones de los clientes.
        • Las alertas cerradas de un caso aparecen como no disponibles y muestran la etiqueta Cerrado. Solo puedes cerrar una alerta si hay otras alertas en el caso y este te fue asignado.
      • Add Entity: Agrega manualmente una entidad existente o nueva a una alerta.

Cómo ejecutar una acción manual en un caso

Las acciones manuales y las acciones de la guía se encuentran disponibles después de que instalas la integración correspondiente desde Google Security Operations Marketplace.

Para ejecutar una acción manual en un caso, sigue estos pasos:

  1. En el caso seleccionado, haz clic en manualactionicon Acción manual.
  2. En el diálogo Acción manual, selecciona la acción requerida. Por ejemplo, selecciona VirusTotalV3 > Enrich URL. Ingresa la información requerida.
  3. Selecciona las alertas y las entidades a las que se debe aplicar la acción.
  4. Haz clic en Ejecutar para mostrar los detalles de la acción en el muro del caso.

Cómo simular casos en Google SecOps

Puedes simular un caso propagado con alertas predeterminadas generadas por el sistema. Los casos simulados son útiles en entornos de etapa de pruebas o para demostraciones.

También puedes crear casos personalizados o importar casos existentes en formato JSON con archivos que tengan el sufijo `.CASE`.

Para simular un caso, sigue estos pasos:

  1. En el encabezado Case queue, haz clic en Add a Case y, luego, selecciona Simulate Cases.
  2. En el cuadro de diálogo Simulate Cases, selecciona un caso de la lista.
  3. Haz clic en Crear.

Crear un caso nuevo

Para crear un caso simulado nuevo, sigue estos pasos:

  1. En el diálogo Simulate Cases, haz clic en Add or import case y, luego, en Add New Case.
  2. En el diálogo Agregar caso nuevo, ingresa el Nombre de la fuente o del SIEM, el Nombre de la regla (generador de reglas), el Producto de alerta, el Nombre de la alerta y el Nombre del evento.
  3. De manera opcional, también puedes proporcionar lo siguiente:
    • Campos de alerta adicionales
    • Campos de evento adicionales
  4. Haz clic en Guardar. El caso aparece en la lista Simulate Cases.
  5. Selecciona el caso que acabas de crear y haz clic en Crear.
  6. Selecciona el entorno de destino y haz clic en Simular. El caso nuevo aparece en la fila.

Cómo importar un caso a un archivo JSON

Para importar un caso a un archivo JSON, sigue estos pasos:

  1. En el diálogo Simulate Cases, haz clic en Add or import case y, luego, en Import Case.
  2. Selecciona el caso requerido y haz clic en Abrir. El caso se importa en formato JSON.

Realiza acciones por lotes en varios casos

Puedes realizar acciones por lotes en varios casos en la página Búsqueda.

Entre las acciones por lotes disponibles, se incluyen las siguientes:

  • Exportar a CSV: Descarga una lista de los casos seleccionados y sus metadatos en formato CSV para su revisión o generación de informes sin conexión.
  • Cerrar caso: Puedes cerrar casos con varias opciones de la interfaz, como la página de detalles del caso, la cola de casos (vistas en paralelo y de lista) y la página de búsqueda. Puedes cerrar un caso una vez que se resuelva.
  • Reabrir caso: Reabre los casos cerrados anteriormente para reanudar la investigación o las acciones de seguimiento.
  • Cambiar prioridad: Actualiza el nivel de prioridad (baja, media, alta o crítica) de los casos seleccionados para reflejar la urgencia o la gravedad.
  • Asignar caso: Asigna un caso a un usuario o grupo específico para que lo investigue más a fondo.
  • Agregar etiqueta: Aplica una o más etiquetas a los casos seleccionados para admitir el filtrado, la categorización o las reglas de automatización.
  • Combinar casos: Combina varios casos relacionados en uno solo para reducir la duplicación y centralizar la investigación.
  • Cambiar etapa: Actualiza la etapa de los casos seleccionados para reflejar su progreso o estado.

Para realizar una acción por lotes, sigue estos pasos:

  1. Ve a Investigación y haz clic en Búsqueda de SOAR.
  2. Selecciona el período de los casos pertinentes.
  3. Selecciona los casos con el filtro requerido.
  4. Selecciona las casillas de verificación para aplicar los filtros pertinentes > Aplicar.
  5. En la lista Resultados, selecciona las casillas de verificación de los casos que deseas modificar.
  6. Selecciona una acción en el menú Resultados de la búsqueda.

Acciones rápidas

El widget de Acciones rápidas te permite definir acciones reutilizables que puedes ejecutar directamente desde los casos y las alertas. Puedes agregar este widget a la vista predeterminada de casos, a la vista predeterminada de alertas y a las vistas personalizadas de alertas en las guías.

Definir parámetros para las acciones rápidas es opcional. Si se proporcionan, puedes revisarlos y modificarlos antes de la ejecución. Si se deja en blanco, los parámetros se deben completar en el tiempo de ejecución.

Si se quita una integración después de configurar una acción rápida, se ocultará el botón de la acción rápida correspondiente y se marcará el widget en la vista de configuración para indicar que falta una integración.

Para obtener instrucciones de configuración, consulta lo siguiente:

Caso de uso: Configura la acción rápida para la investigación de archivos maliciosos

En este caso de uso, se muestra cómo crear una acción rápida que ayude a investigar archivos potencialmente maliciosos dentro de un caso.

Cómo agregar el widget de Acciones rápidas

  1. Ve a Configuración de SOAR > Datos del caso > Vistas.
  2. Selecciona Default Case View.
  3. Selecciona la pestaña General.
  4. Arrastra el widget de Acciones rápidas a la vista predeterminada del caso.

Configura el widget

  1. Haz clic en settings Configuración.
  2. En el panel lateral Acciones rápidas, ingresa File Investigation como título del widget.
  3. En la descripción del widget, ingresa Quickly scan file hashes..
  4. Opcional: Elige el ancho del widget.
  5. Haz clic en Configuración avanzada.
  6. En la sección Condiciones, define los criterios para mostrar el widget. Para mostrar el widget solo cuando un caso se etiqueta con malicious-file, usa la condición Case.Tags contiene malicious-file.

Agrega un botón de Scan Hash

  1. En Texto, puedes proporcionar instrucciones o contexto directamente en el widget. Para este caso de uso, agrega el siguiente texto: Use the 'Scan Hash' button to check suspicious files.
  2. En Buttons, haz clic en + Add New Button para crear una nueva acción rápida. Puedes agregar hasta seis botones, cada uno correspondiente a una acción rápida diferente.
  3. En el diálogo Add Button que aparece, configura la acción rápida (Scan Hash) de la siguiente manera:
    • Nombre: Hash del análisis
    • Color del botón: Elige un color.
    • Acción: Selecciona Scan Hash en la sección VirusTotal de la lista Acción.
    • Opcional: Elige la instancia pertinente para VirusTotal.
    • Opcional: En Parámetros, define el parámetro Hash:Hash: [Case.FileHash]
  4. En el cuadro de diálogo Agregar botón, haz clic en Cerrar.
  5. En el panel lateral Acciones rápidas, haz clic en Guardar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.