Descripción general de casos

Google Security Operations transfiere alertas de una amplia variedad de fuentes. Cada alerta incluye sus eventos de seguridad subyacentes y sus indicadores clave (como fuentes, destinos y artefactos), que se analizan y se procesan. Durante este análisis, se extraen indicadores clave, como las IPs de origen y destino, los hashes de archivos o las cuentas de usuario, y se representan como entidades. Las entidades son objetos persistentes en la plataforma. Recopilan datos de enriquecimiento, comentarios de los analistas y contexto histórico, lo que permite a los analistas hacer un seguimiento del comportamiento de las entidades a lo largo del tiempo y en diferentes casos. Las entidades también aparecen en el lienzo visual para ayudar a ilustrar las relaciones en el panorama de amenazas.

Creación y agrupación de casos

En la página Cases, los analistas pueden investigar las alertas entrantes y administrar los flujos de trabajo de incidentes. También puedes agrupar automáticamente alertas adicionales en casos existentes según entidades compartidas y reglas configurables. Los analistas también pueden hacer lo siguiente:

• Agrupa automáticamente alertas adicionales en casos existentes según entidades compartidas y reglas configurables.
• Crear casos de forma manual o simular casos con fines de prueba y capacitación

Encabezado y vistas de la cola de casos

Todos los casos activos de varios conectores aparecen en la cola de casos. Cada entrada de caso muestra metadatos clave, como los siguientes:

• Nombre del caso y su ID único
• Marca de tiempo del caso
• Cantidad de alertas asociadas
• Analista asignado (con avatar)
• Prioridad y etapa del caso (opcional, según la vista)

Los analistas pueden alternar entre estas vistas:

• Vista predeterminada: Muestra tarjetas de casos con información esencial.
• Vista compacta: Reduce la huella visual para un análisis más rápido.
• Vista de lista: Muestra todos los casos en formato de tabla para operaciones masivas o filtrado.

Barra superior del estuche

La barra superior del caso muestra el contexto a nivel del caso y las acciones disponibles, de la siguiente manera:

• El encabezado de la fila de casos muestra el título, el ID, la prioridad, la etapa, la marca de tiempo, el entorno de cambio y las etiquetas del caso.
• También se muestra el analista asignado (nombre o rol) y se incluyen controles para Chat, Cerrar caso, Actualizar, Explorar y el menú Acciones del caso.

Para obtener más información, consulta ¿Qué se muestra en la página Casos?

Pestaña Caso

Cada caso incluye varias pestañas que ayudan a los analistas a revisar, investigar y tomar medidas en relación con los datos del caso. Estas pestañas organizan la información clave, desde resúmenes generales hasta registros detallados y datos de alertas, en un formato coherente y fácil de navegar.

Pestaña Descripción general del caso

En la pestaña Descripción general del caso, se muestran widgets específicos del caso que configuró el administrador. Para obtener más detalles, consulta ¿Cómo explorar la pestaña Resumen del caso?.

Pestaña Muro de casos

En la pestaña Muro de casos, se muestra un registro cronológico de todos los eventos y las acciones relacionados con el caso, desde su creación hasta su cierre. Cuando abres esta pestaña, puedes ver información relacionada con el caso, como tareas, comentarios de los usuarios, mensajes de chat fijados, acciones manuales y del sistema, y archivos adjuntos (hasta 50 MB por archivo). Cada tipo de contenido está representado por un ícono en la sección superior del muro de casos.

Acciones que puedes realizar con esta pestaña:

• Haz clic en Ver más para mostrar los resultados de la IU estándar y los datos JSON correspondientes.
• Para ver los detalles de un evento, haz clic en uno o más de los íconos de eventos.
• Usa los íconos para seleccionar una alerta específica.
• Para ver los eventos de todas las alertas del caso, selecciona Todas las alertas.

Ícono	Descripción
	Muestra las acciones que se realizaron en las alertas en una tabla, incluidos el nombre de la acción, la marca de tiempo, el nombre de la alerta, el resultado y el estado (Completado o Con errores). Haz clic en Mostrar más para expandir los resultados, los parámetros y las entidades afectadas. Haz clic en Mostrar menos para contraer la vista.
	Muestra todos los cambios de estado del caso generados por el sistema y el usuario, como las actualizaciones del título, la etapa, la prioridad, la asignación y el cierre.
	Muestra la actividad relacionada con las tareas. Cuando se complete una tarea, haz clic en Completar tarea. El estado se actualizará a Completado junto con una marca de tiempo y tus comentarios.
	Muestra los comentarios agregados de forma manual o con la acción Case Comment.
	Muestra los mensajes fijados del diálogo de Mensajería instantánea.
	Muestra los elementos marcados como favoritos en el muro de casos haciendo clic en el ícono de estrella amarilla.
	Ordena los registros de eventos por marca de tiempo, ya sea de más reciente a más antiguo o de más antiguo a más reciente.
	Muestra estadísticas y advertencias generales sobre el caso y las entidades asociadas.

Para obtener más información, consulta ¿Qué se muestra en la pestaña Case Wall?

• Pestaña Alert Overview: En ella, se enumeran todas las alertas vinculadas al caso, incluidos los eventos y los metadatos asociados. En esta pestaña, se muestra información y eventos cruciales asociados con el caso.
• La cola de casos, que se actualiza automáticamente cada minuto, enumera todos los casos activos y te permite actualizarlos, ordenarlos, filtrarlos, agregarlos o cerrarlos manualmente según sea necesario.

Automatización de guías

Las guías son conjuntos predefinidos de acciones que recopilan información de fuentes de alertas internas y externas. Luego, toman decisiones sobre cómo controlar estas alertas o realizar operaciones en sistemas remotos, como bloquear un puerto de firewall o inhabilitar un usuario de Active Directory. Google SecOps realiza estas acciones de forma automática o semiautomática según los activadores de la guía en cualquier incorporación de alertas.