Menindaklanjuti kasus

Didukung di:

Dokumen ini menguraikan berbagai tindakan yang dapat Anda lakukan pada kasus, termasuk memperbarui status atau prioritasnya, mengelola pemberitahuan terkait, membuat laporan, dan melakukan tindakan satu per satu atau massal untuk menyederhanakan penanganan kasus.

Menandai kasus sebagai penting

Jika ingin menandai kasus, Anda dapat menandainya sebagai penting. Anda juga dapat menghapus tag Penting dari menu yang sama.

Untuk menandai kasus sebagai penting, ikuti langkah-langkah berikut:

  • Klik format_list_bulleted Tindakan Kasus, pilih kasus yang akan diberi tag, lalu pilih Tandai sebagai penting; arrow_drop_up kuning akan muncul bersama kasus tersebut.

Menandai kasus sebagai Insiden

Jika kasus yang ditetapkan kepada Anda bersifat mendesak dan memerlukan tindakan segera, tandai kasus tersebut sebagai Insiden. Hal ini secara otomatis:

  • Menetapkan prioritas kasus ke Kritis
  • Mengubah tahap kasus menjadi Insiden
  • Menugaskan kasus kepada Manajer SOC
  • Mengirim notifikasi ke semua analis

Untuk menandai kasus sebagai insiden, ikuti langkah-langkah berikut:

  1. Di halaman Cases, buka kasus yang relevan.
  2. Klik format_list_bulleted Tindakan Kasus, lalu pilih Insiden.
  3. Pada dialog Konfirmasi, klik Ya. Halaman dimuat ulang dan insiden baru muncul dalam daftar kasus dengan ikon insiden dan sidebar penting berwarna merah. Kasus ini otomatis ditetapkan kepada pengguna dengan peran SOC Manager.

Mengubah tahap kasus

Jika Anda ditugaskan untuk menangani kasus, Anda dapat memperbarui tahapnya, berdasarkan alur kerja tim Anda. 

Untuk mengubah tahap kasus, ikuti langkah-langkah berikut:

  1. Pilih kasus dari antrean.
  2. Klik format_list_bulleted Tindakan Kasus, lalu pilih Tahap.
  3. Pilih salah satu tahap berikut:
    • Triage: Fase awal saat kasus dibuat. Ini adalah setelan defaultnya.
    • Penilaian: Kasus ini akan dieskalasikan ke tingkat berikutnya untuk dievaluasi.
    • Investigasi: Kasus diberi tugas investigasi aktif atas pemberitahuan dan entitas. 
    • Peningkatan: Kasus ditandai untuk menyempurnakan aturan deteksi SOC atau peninjauan lanjutan. 
    • Penelitian: Kasus ini ditetapkan untuk penyelidikan lebih mendalam terhadap akses eksternal atau perilaku ancaman ke organisasi Anda.
    • Insiden: Tahap akhir kasus untuk peristiwa penting. Setelah memilih Insiden, Anda tidak dapat mengubahnya.
  4. Klik Simpan.

Mengubah prioritas kasus

Untuk mengubah prioritas kasus, ikuti langkah-langkah berikut:

  1. Pilih kasus dari antrean.
  2. Klik format_list_bulleted Tindakan Kasus, lalu pilih Prioritas.
  3. Pilih salah satu tingkat berikut, yang masing-masing memiliki indikator warna casing yang sesuai:
    • Informatif (abu-abu)
    • Rendah (biru)
    • Sedang (kuning)
    • Tinggi (oranye)
    • Kritis (merah)
  4. Klik Oke. Prioritas kasus diubah.
  5. Opsional: Klik sampel warna untuk mengubah warna batang casing.

Mendownload laporan kasus

Anda dapat mendownload laporan kasus dalam format DOC, XLSX, atau CSV. Laporan mencakup detail berikut:

  • Detail kasus
  • Peringatan, entitas, dan insight
  • Aktivitas pengguna dan sistem
  • Tindakan playbook dan aktivitas kasus
  • Semua entri yang disertakan dalam repositori kasus

Untuk mendownload laporan, ikuti langkah-langkah berikut:

  1. Pilih kasus dari antrean.
  2. Klik format_list_bulleted Tindakan Kasus, lalu pilih Laporkan.
  3. Dalam dialog Pilih Jenis Laporan, pilih jenis file, lalu klik Pilih.
  4. Buka file yang didownload untuk melihat laporan.

Mengelola pemberitahuan dalam kasus

Untuk mengelola pemberitahuan tertentu dalam kasus, lakukan hal berikut:

  1. Di halaman Alert Options menu Cases > tab Alert, klik more_vert Alert Options.
  2. Pilih salah satu opsi yang tersedia:
    • Jelajahi Notifikasi: Untuk mengetahui informasi selengkapnya tentang halaman Hasil Notifikasi, klik Menyelidiki notifikasi.
    • Serap pemberitahuan sebagai kasus pengujian: Klik Serap pemberitahuan sebagai kasus pengujian untuk menambahkan kasus pengujian baru ke sistem. Sistem menandainya sebagai Kasus Pengujian untuk identifikasi. Laporan insiden yang diproses tidak disertakan dalam dasbor dan laporan serta tidak dikelompokkan dengan laporan insiden lainnya.
    • Ubah Prioritas: Sebaiknya ubah prioritas pemberitahuan, bukan prioritas kasus. Mengubah prioritas pemberitahuan tidak memengaruhi prioritas kasus. Untuk mengetahui informasi selengkapnya, lihat Mengubah prioritas pemberitahuan, bukan prioritas kasus.
    • Pindahkan Pemberitahuan: Jika Anda ditetapkan sebagai petugas kasus dengan beberapa pemberitahuan, Anda dapat Memindahkan Pemberitahuan ke kasus baru atau Memindahkan Pemberitahuan ke kasus yang ada. Jika Anda memilih Pindahkan Pemberitahuan ke kasus yang ada, pilih kasus tujuan dari menu, lalu klik Pindahkan.
    • Kelola Aturan Deteksi Pemberitahuan: Hanya tersedia untuk pengguna Google Security Operations.
      • Jika aturan adalah aturan Google SecOps yang telah ditentukan sebelumnya, sistem akan mengalihkan Anda ke halaman Deteksi Aturan. Untuk mengetahui informasi selengkapnya, lihat Memfilter data di tampilan Deteksi Aturan.
      • Jika aturan adalah aturan pelanggan, sistem akan mengalihkan Anda ke halaman Editor Aturan. Untuk mengetahui informasi selengkapnya, lihat Mengelola aturan menggunakan Editor Aturan.
      • Tutup Pemberitahuan: Menutup pemberitahuan dalam kasus. Pilih nilai dari kolom Alasan, Penyebab Utama, atau Kegunaan.
        • Kolom Kegunaan hanya muncul untuk pengguna Google SecOps dan membantu analis aturan mendapatkan masukan yang lebih tepat tentang aturan pemberitahuan dari input pelanggan.
        • Pemberitahuan yang ditutup dalam kasus muncul sebagai tidak tersedia dan menampilkan tag Ditutup. Anda hanya dapat menutup pemberitahuan jika ada pemberitahuan lain dalam kasus dan pemberitahuan tersebut ditetapkan kepada Anda.
      • Tambahkan Entitas: Tambahkan entitas yang ada atau baru secara manual ke pemberitahuan.

Menjalankan tindakan manual dalam kasus

Tindakan manual dan tindakan playbook tersedia setelah Anda menginstal integrasi yang sesuai dari Google Security Operations Marketplace.

Untuk menjalankan tindakan manual dalam kasus, ikuti langkah-langkah berikut:

  1. Dalam kasus yang dipilih, klik manualactionicon Tindakan Manual.
  2. Dalam dialog Tindakan Manual, pilih tindakan yang diperlukan. Misalnya, pilih VirusTotalV3 > Enrich URL. Masukkan informasi yang diperlukan.
  3. Pilih pemberitahuan dan entitas yang akan diterapkan tindakan.
  4. Klik Jalankan untuk menampilkan detail tindakan di dinding kasus.

Menyimulasikan kasus di Google SecOps

Anda dapat menyimulasikan kasus yang diisi dengan pemberitahuan default yang dihasilkan sistem. Kasus simulasi berguna di lingkungan penyiapan atau untuk demonstrasi.

Anda juga dapat membuat kasus kustom atau mengimpor kasus yang ada dalam format JSON menggunakan file dengan akhiran `.CASE`.

Untuk menyimulasikan kasus, ikuti langkah-langkah berikut:

  1. Di header Case queue, klik Add a Case, lalu pilih Simulate Cases.
  2. Dalam dialog Simulate Cases, pilih kasus dari daftar.
  3. Klik Buat.

Buat kasus baru

Untuk membuat kasus simulasi baru, ikuti langkah-langkah berikut:

  1. Dalam dialog Simulate Cases, klik Tambahkan atau impor kasus, lalu klik Tambahkan Kasus Baru.
  2. Dalam dialog Add New Case, masukkan Source/SIEM Name, Rule Name (Rule Generator), Alert Product, Alert Name, Event Name
  3. Secara opsional, Anda juga dapat memberikan:
    • Kolom Pemberitahuan Tambahan
    • Kolom Peristiwa Tambahan
  4. Klik Simpan. Kasus akan muncul dalam daftar Simulasikan Kasus.
  5. Pilih kasus yang baru dibuat, lalu klik Buat.
  6. Pilih lingkungan target, lalu klik Simulate. Kasus baru akan muncul dalam antrean.

Mengimpor kasus ke file JSON

Untuk mengekspor kasus ke file JSON, ikuti langkah-langkah berikut:

  1. Di dialog Simulasikan Kasus, klik Tambahkan atau impor kasus, lalu klik Impor Kasus.
  2. Pilih kasus yang diperlukan, lalu klik Buka. Kasus diimpor dalam format JSON.

Melakukan tindakan batch pada beberapa kasus

Anda dapat melakukan tindakan batch pada beberapa kasus di halaman Penelusuran.

Tindakan batch yang tersedia meliputi:

  • Ekspor ke CSV: Mendownload daftar kasus yang dipilih dan metadatanya dalam format CSV untuk ditinjau atau dilaporkan secara offline.
  • Tutup kasus: Anda dapat menutup kasus menggunakan berbagai opsi antarmuka, termasuk halaman detail kasus, antrean kasus (tampilan berdampingan dan daftar), dan halaman Penelusuran. Anda dapat menutup kasus setelah diselesaikan.
  • Buka kembali kasus: Membuka kembali kasus yang sebelumnya ditutup untuk melanjutkan investigasi atau tindakan lanjutan.
  • Ubah prioritas: Mengupdate tingkat prioritas (Rendah, Sedang, Tinggi, atau Kritis) kasus yang dipilih untuk mencerminkan urgensi atau tingkat keparahan.
  • Tetapkan kasus: Menetapkan kasus kepada pengguna atau grup tertentu untuk penyelidikan lebih lanjut.
  • Tambahkan tag: Menerapkan satu atau beberapa tag ke kasus yang dipilih untuk mendukung aturan pemfilteran, kategorisasi, atau otomatisasi.
  • Menggabungkan kasus: Menggabungkan beberapa kasus terkait ke dalam satu kasus untuk mengurangi duplikasi dan memusatkan penyelidikan.
  • Ubah tahap: Mengupdate tahap kasus yang dipilih untuk mencerminkan progres atau statusnya.

Untuk melakukan tindakan batch, ikuti langkah-langkah berikut:

  1. Buka Investigation, lalu klik SOAR Search.
  2. Pilih jangka waktu untuk kasus yang relevan.
  3. Pilih kasus menggunakan filter yang diperlukan.
  4. Centang kotak untuk menerapkan filter yang relevan > Terapkan.
  5. Dalam daftar Hasil, centang kotak untuk kasus yang ingin Anda ubah.
  6. Pilih tindakan dari menu Hasil Penelusuran.

Tindakan cepat

Widget Tindakan Cepat memungkinkan Anda menentukan tindakan yang dapat digunakan kembali yang dapat Anda eksekusi langsung dari kasus dan notifikasi. Anda dapat menambahkan widget ini ke tampilan kasus default, tampilan notifikasi default, dan tampilan notifikasi kustom dalam playbook.

Menentukan parameter untuk Tindakan Cepat bersifat opsional. Jika disediakan, Anda dapat meninjau dan mengubahnya sebelum dieksekusi. Jika dibiarkan kosong, parameter harus diisi saat runtime.

Jika integrasi dihapus setelah Tindakan Cepat dikonfigurasi, tombol Tindakan Cepat yang sesuai akan disembunyikan, dan widget akan ditandai di tampilan konfigurasi untuk menunjukkan integrasi yang tidak ada.

Untuk mengetahui petunjuk penyiapan, lihat bagian berikut:

Kasus penggunaan: Mengonfigurasi Tindakan Cepat untuk investigasi file berbahaya

Kasus penggunaan ini menunjukkan cara membuat Tindakan Cepat yang membantu menyelidiki file yang berpotensi berbahaya dalam kasus.

Menambahkan widget Tindakan Cepat

  1. Buka Setelan SOAR > Data Kasus > Tampilan.
  2. Pilih Tampilan Kasus Default.
  3. Pilih tab General.
  4. Tarik widget Tindakan Cepat ke Tampilan Kasus Default.

Mengonfigurasi widget

  1. Klik setelan Konfigurasi.
  2. Di panel samping Tindakan Cepat, masukkan File Investigation untuk judul widget.
  3. Untuk deskripsi widget, masukkan Quickly scan file hashes.
  4. Opsional: pilih lebar widget.
  5. Klik Setelan Lanjutan.
  6. Di bagian Kondisi, tentukan kriteria untuk menampilkan widget. Untuk menampilkan widget hanya saat kasus diberi tag dengan malicious-file, gunakan kondisi Case.Tags berisi malicious-file.

Menambahkan tombol Pindai Hash

  1. Di Teks, Anda dapat memberikan petunjuk atau konteks untuk langsung dalam widget. Untuk kasus penggunaan ini, tambahkan teks berikut: Use the 'Scan Hash' button to check suspicious files.
  2. Di Tombol, klik + Tambahkan Tombol Baru untuk membuat Tindakan Cepat baru. Anda dapat menambahkan hingga enam tombol, yang masing-masing sesuai dengan Tindakan Cepat yang berbeda.
  3. Pada dialog Tambahkan Tombol yang muncul, konfigurasikan Tindakan Cepat (Pindai Hash):
    • Nama: Scan Hash
    • Warna Tombol: Pilih warna.
    • Tindakan: Pilih Pindai Hash dari bagian VirusTotal di daftar Tindakan.
    • Opsional: pilih Instance yang relevan untuk VirusTotal.
    • Opsional: di Parameters, tentukan parameter Hash:
      Hash: [Case.FileHash]
  4. Pada dialog Tambahkan Tombol, klik Tutup.
  5. Di panel samping Tindakan Cepat, klik Simpan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.