ケースの概要

以下でサポートされています。

Google Security Operations は、さまざまなソースからアラートを取り込みます。各アラートには、基盤となるセキュリティ イベントとキー指標(ソース、宛先、アーティファクトなど)が含まれており、これらは解析されて分析されます。この分析では、移行元と移行先の IP、ファイル ハッシュ、ユーザー アカウントなどの主要な指標が抽出され、エンティティとして表されます。エンティティはプラットフォーム内の永続オブジェクトです。エンリッチメント データ、アナリストのコメント、過去のコンテキストを収集し、アナリストがエンティティの動作を時間経過やケース全体にわたって追跡できるようにします。エンティティは、脅威の状況における関係を説明するために、ビジュアル キャンバスにも表示されます。

ケースの作成とグループ化

[ケース] ページでは、アナリストが受信したアラートを調査し、インシデント ワークフローを管理できます。また、共有エンティティと構成可能なルールに基づいて、追加のアラートを既存のケースに自動的にグループ化することもできます。アナリストは次のこともできます。

  • 共有エンティティと構成可能なルールに基づいて、追加のアラートを既存のケースに自動的にグループ化します。
  • テストとトレーニングの目的で、ケースを手動で作成するか、ケースをシミュレートします。

ケースキューのヘッダーとビュー

さまざまなコネクタのアクティブなケースがすべてケースキューに表示されます。各ケース エントリには、次のような主要なメタデータが表示されます。

  • ケース名と一意の ID
  • ケースのタイムスタンプ
  • 関連付けられたアラートの数
  • 割り当てられたアナリスト(アバター付き)
  • ケースの優先度とステージ(ビューによって省略可)

アナリストは次のビューを切り替えることができます。

  • デフォルト ビュー: 重要な情報を含むケースカードが表示されます。
  • コンパクト表示: 視覚的なフットプリントを減らし、スキャンを高速化します。
  • リストビュー: すべてのケースを表形式で表示し、一括処理やフィルタリングを行います。

ケースの上部バー

[ケースの上部バー] には、ケースレベルのコンテキストと使用可能なアクションが次のように表示されます。

詳しくは、[ケース] ページに記載されている内容をご覧ください。

[ケース] タブ

各ケースには、アナリストがケースデータの確認、調査、対応に役立つ複数のタブが含まれています。これらのタブでは、概要から詳細なログやアラートデータまで、重要な情報が一貫性のあるナビゲーション可能な形式で整理されます。

[ケースの概要] タブ

[ケースの概要] タブには、管理者が構成したケース固有のウィジェットが表示されます。詳しくは、[ケースの概要] タブの詳細をご覧ください。

[ケースウォール] タブ

[ケースウォール] タブには、ケースの作成から終了までのすべてのケース関連のイベントとアクションの時系列ログが表示されます。このタブを開くと、タスク、ユーザーのコメント、固定されたチャット メッセージ、手動アクションとシステム アクション、添付ファイル(ファイルあたり 50 MB まで)など、ケースに関連する情報を確認できます。各タイプのコンテンツは、ケースウォールの上部のアイコンで表されます。

このタブでできること:

  • [詳細を表示] をクリックすると、標準の UI の結果と対応する JSON データの両方が表示されます。
  • イベントの詳細を表示するには、1 つ以上のイベント アイコンをクリックします。
  • アイコンの横にある を使用して、特定のアラートを選択します。
  • ケース内のすべてのアラートのイベントを表示するには、[すべてのアラート] を選択します。
    • アイコン 説明
    アクションの詳細アイコン アラートに対して行われたアクションをテーブルに表示します。アクション名、タイムスタンプ、アラート名、結果、ステータス(完了または失敗)が表示されます。
    [詳細を表示] をクリックして、結果、パラメータ、影響を受けるエンティティを展開します。[一部を表示] をクリックしてビューを折りたたみます。
    ケースのステータス変更アイコン タイトル、ステージ、優先度、割り当て、クローズの更新など、システムとユーザーによって生成されたケースのステータスの変更がすべて表示されます。
    タスクの詳細アイコン タスク関連のアクティビティが表示されます。タスクが完了したら、[タスクを完了] をクリックします。ステータスが [完了] に更新され、タイムスタンプとコメントが表示されます。
    コメント アイコン 手動で追加されたコメント、または [Case Comment] アクションによって追加されたコメントが表示されます。
    固定されたチャットのアイコン [インスタント メッセージ] ダイアログから固定されたメッセージを表示します。
    お気に入りアイテムのアイコン 黄色の星アイコンをクリックすると、ケースウォールでお気に入りとしてマークされたアイテムが表示されます。
    並べ替えアイコン イベントログをタイムスタンプで並べ替えます(新しい順または古い順)。
    分析情報アイコン ケースと関連エンティティに関する一般的な分析情報と警告が表示されます。

    詳しくは、[ケースウォール] タブの内容は何ですか?をご覧ください。

  • [アラートの概要] タブ: ケースにリンクされているすべてのアラート(関連するイベントやメタデータを含む)が一覧表示されます。このタブには、ケースに関連する重要な情報とイベントが表示されます。
  • ケースキューには、すべてのアクティブなケースが一覧表示されます。ケースキューは 1 分ごとに自動的に更新されます。必要に応じて、ケースを手動で更新、並べ替え、フィルタ、追加、クローズすることもできます。

ハンドブックの自動化

ハンドブックは、内部および外部のアラートソースから情報を収集する事前定義された一連のアクションです。その後、これらのアラートの処理方法を決定したり、ファイアウォール ポートのブロックや Active Directory ユーザーの無効化など、リモート システムでオペレーションを実行したりします。Google SecOps は、アラートが取り込まれると、ハンドブックのトリガーに基づいて、これらのアクションを自動または半自動的に実行します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。