Panoramica dei casi

Google Security Operations importa avvisi da un'ampia gamma di fonti. Ogni avviso include gli eventi di sicurezza e gli indicatori chiave sottostanti (ad esempio origini, destinazioni, artefatti), che vengono analizzati e analizzati. Durante questa analisi, vengono estratti e rappresentati come entità indicatori chiave, come IP di origine e di destinazione, hash dei file o account utente. Le entità sono oggetti persistenti nella piattaforma. Raccolgono dati di arricchimento, commenti degli analisti e contesto storico, consentendo agli analisti di monitorare il comportamento delle entità nel tempo e nei vari casi. Le entità vengono visualizzate anche nell'area di disegno visiva per illustrare le relazioni nel panorama delle minacce.

Creazione e raggruppamento delle richieste

La pagina Richieste è quella in cui gli analisti possono esaminare gli avvisi in arrivo e gestire i flussi di lavoro relativi agli incidenti. Puoi anche raggruppare automaticamente ulteriori avvisi in casi esistenti in base a entità condivise e regole configurabili. Gli analisti possono anche:

• Raggruppa automaticamente gli avvisi aggiuntivi in casi esistenti in base a entità condivise e regole configurabili.
• Crea manualmente casi o simula casi a scopo di test e addestramento.

Intestazione e visualizzazioni della coda di richieste

Tutti i casi attivi provenienti da vari connettori vengono visualizzati nella coda dei casi. Ogni voce della richiesta mostra i metadati chiave, ad esempio:

• Nome della richiesta e ID univoco
• Timestamp della richiesta
• Numero di avvisi associati
• Analista assegnato (con avatar)
• Priorità e fase della richiesta (facoltativo, a seconda della visualizzazione)

Gli analisti possono alternare le seguenti visualizzazioni:

• Visualizzazione predefinita: mostra le schede delle richieste con le informazioni essenziali.
• Visualizzazione compatta: riduce l'ingombro visivo per una scansione più rapida.
• Visualizzazione elenco: mostra tutte le richieste in formato tabella per operazioni collettive o filtri.

Barra superiore della pratica

La barra superiore della richiesta mostra il contesto a livello di richiesta e le azioni disponibili, come segue:

• L'intestazione della coda delle richieste mostra il titolo, l'ID, la priorità, la fase, il timestamp, l'ambiente di modifica e i tag.
• Mostra anche l'analista assegnato (nome o ruolo) e include i controlli per Chat, Chiudi richiesta, Aggiorna, Esplora e il menu Azioni richiesta.

Per informazioni dettagliate, vedi Che cosa contiene la pagina Richieste?

Scheda Richiesta

Ogni richiesta include diverse schede che aiutano gli analisti a esaminare, analizzare e agire in base ai dati della richiesta. Queste schede organizzano le informazioni chiave, dai riepiloghi di alto livello ai log dettagliati e ai dati degli avvisi, in un formato coerente e navigabile.

Scheda Panoramica della richiesta

La scheda Panoramica del caso mostra i widget specifici del caso configurati dall'amministratore. Per maggiori dettagli, vedi Esplorare la scheda Panoramica della richiesta.

Scheda Bacheca richieste

La scheda Bacheca dei casi mostra un log cronologico di tutti gli eventi e le azioni relativi ai casi, dalla creazione alla chiusura. Quando apri questa scheda, puoi visualizzare informazioni relative alla richiesta, come attività, commenti degli utenti, messaggi della chat fissati, azioni manuali e di sistema e allegati (fino a 50 MB per file). Ogni tipo di contenuto è rappresentato da un'icona nella sezione superiore della bacheca dei casi.

Azioni che puoi eseguire con questa scheda:

• Fai clic su Visualizza altro per visualizzare sia i risultati dell'interfaccia utente standard sia i dati JSON corrispondenti.
• Per visualizzare i dettagli di un evento, fai clic su una o più icone dell'evento.
• Utilizza il pulsante accanto alle icone per selezionare un avviso specifico.
• Per visualizzare gli eventi per tutti gli avvisi nella richiesta, seleziona Tutti gli avvisi.

Icona	Descrizione
	Mostra le azioni intraprese sugli avvisi in una tabella, inclusi il nome dell'azione, il timestamp, il nome dell'avviso, il risultato e lo stato (Completato o Errore). Fai clic su Mostra altro per espandere i risultati, i parametri e le entità interessate. Fai clic su Mostra meno per comprimere la visualizzazione.
	Mostra tutte le modifiche dello stato delle richieste generate dal sistema e dagli utenti, ad esempio gli aggiornamenti di titolo, fase, priorità, assegnazione e chiusura.
	Mostra l'attività correlata all'attività. Quando un'attività è completata, fai clic su Completa attività. Lo stato viene aggiornato a Completato insieme a un timestamp e ai tuoi commenti.
	Mostra i commenti aggiunti manualmente o tramite l'azione Commento richiesta.
	Mostra i messaggi fissati nella finestra di dialogo Messaggio istantaneo.
	Visualizza gli elementi contrassegnati come preferiti nella bacheca richieste facendo clic sull'icona a forma di stella gialla.
	Ordina i log eventi per timestamp, dal più recente al meno recente o viceversa.
	Mostra approfondimenti e avvisi generali sulla richiesta e sulle entità associate.

Per i dettagli, vedi Che cosa contiene la scheda Bacheca delle richieste?

• Scheda Panoramica avvisi: elenca tutti gli avvisi collegati alla richiesta, inclusi gli eventi e i metadati associati. Questa scheda mostra informazioni ed eventi cruciali associati alla richiesta.
• La coda delle richieste, aggiornata automaticamente ogni minuto, elenca tutte le richieste attive e ti consente di aggiornare, ordinare, filtrare, aggiungere o chiudere manualmente le richieste in base alle esigenze.

Automazione dei playbook

I playbook sono insiemi predefiniti di azioni che raccolgono informazioni da origini di avvisi interne ed esterne. Quindi, prendono decisioni su come gestire questi avvisi o eseguire operazioni su sistemi remoti, ad esempio bloccare una porta firewall o disattivare un utente Active Directory. Google SecOps esegue queste azioni automaticamente o semiautomaticamente in base ai trigger del playbook durante l'importazione di qualsiasi avviso.