Cómo usar la búsqueda de SOAR

Compatible con:

La función SOAR Search te ayuda a encontrar rápidamente casos específicos o entidades en Google Security Operations. Google SecOps mantiene registros detallados de todos los casos y entidades en tu entorno, lo que permite un acceso rápido a los datos de investigación pertinentes. Admite búsquedas de texto libre y basadas en campos en todos los datos indexados durante el último año, incluidos los metadatos de casos, las alertas, los eventos, los puertos y las líneas de tiempo de los casos. Puedes buscar casos o entidades.

Explora las opciones de la Búsqueda de SOAR

Puedes buscar casos o entidades desde la interfaz de SOAR Search y usar filtros para definir mejor los resultados y tomar medidas en casos individuales o múltiples.

Buscar casos

De forma predeterminada, el menú que se encuentra junto a la barra de búsqueda principal está configurado para buscar casos. Cada resultado incluye detalles, como alertas, entidades, estadísticas y actividad del muro de casos asociados.

Para buscar casos, sigue estos pasos:

  1. Ve a Investigación > Búsqueda en SOAR.
  2. Ingresa tus criterios de búsqueda:
    • Búsqueda de texto libre: En la barra de búsqueda principal, ingresa palabras clave o frases relacionadas con el caso.
    • Búsqueda basada en campos: Usa los filtros de campo disponibles para definir mejor tu búsqueda según criterios específicos, como los siguientes:
      • CaseIds
      • TicketIds
      • Puertos
      • AlertName
  3. Selecciona el período adecuado con el selector de fecha que se encuentra junto a la barra de búsqueda.
  4. Haz clic en un caso para ver más detalles, generar informes o realizar acciones.

Ejemplos de búsquedas de casos

  • Realiza una búsqueda con caseids:180,181 para devolver datos de casos específicos. Haz clic en un ID para acceder a la pantalla Detalles del caso.
  • Consulta por Ports:663,770: para devolver todas las alertas que incluyen estos puertos.
  • Realiza una búsqueda con Entity:10.210.1.13 para devolver todos los casos que tienen esta dirección IP 10.210.1.13 como una entidad.
  • Realiza la búsqueda por AlertName:IRC Connections para devolver todos los casos con un nombre de alerta coincidente.

Buscar entidades

Cada entidad en los resultados de la búsqueda incluye el tipo de entidad, el nivel de riesgo, la ubicación, el entorno y el recuento de casos. Una entidad puede estar asociada a varios casos.

Para buscar entidades, sigue estos pasos:

  1. Ve a Investigación > Búsqueda en SOAR.
  2. En el menú junto a la barra de búsqueda, selecciona Entidades.
  3. Ingresa tus criterios de búsqueda:
    • Búsqueda de texto libre: En la barra de búsqueda principal, ingresa palabras clave o frases relacionadas con la entidad.
    • Búsqueda basada en campos: Usa los filtros de campo disponibles para definir mejor tu búsqueda según criterios específicos, como Contiene o Es igual a.
  4. Haz clic en una entidad en los resultados para ver el contexto, los casos relacionados y el registro de la entidad.

Ejemplos de búsquedas por entidades

  • Cuando buscas por Entidades, puedes usar la búsqueda de texto libre. Por ejemplo, una búsqueda de texto libre de Chronicle devuelve todas las entidades que contienen esa palabra. En los resultados de la búsqueda, se muestran detalles clave sobre cada entidad, como el riesgo, la ubicación, el entorno y la cantidad de casos.
  • Haz clic en la entidad individual para ir a la página Detalles de la entidad y obtener más información.

Usar filtros para definir mejor los resultados de la búsqueda

Los filtros te permiten restringir los resultados de la búsqueda seleccionando atributos específicos.

Para usar filtros, haz clic en Aplicar para actualizar los resultados o en Borrar para restablecer los filtros a sus valores predeterminados.

Buscar filtros de casos

Cuando buscas casos, puedes filtrarlos por los siguientes criterios:

  • Estado: Selecciona las opciones Abierto y Cerrado según sea necesario. Esta selección devuelve casos abiertos, cerrados o ambos tipos.
  • Entorno: Filtra por entornos específicos.
  • Etiquetas: Filtra por las etiquetas asignadas a los casos.
  • Usuarios asignados: Selecciona los usuarios del sistema necesarios a los que se asignan los casos.
  • Resultados de la categoría: Filtra por los resultados asignados a los casos.
  • Puertos: Filtra por los puertos de origen y destino involucrados en los casos.
  • Productos: Filtra por los productos integrados.
  • Fuente del caso: Filtra por la fuente de los casos.
  • Etapa del caso: Filtra por etapas del caso según la metodología del SOC.
  • Tipos de alerta: Filtra por los tipos de alerta asociados con los casos.
  • Prioridades: Filtra por las prioridades requeridas asignadas a los casos.
  • Importancia: Filtra para mostrar los casos marcados como importantes (True) o no (False).
  • Is Incident: Filtra para mostrar los casos marcados como incidentes (True) o no (False).

Filtros de búsqueda de entidades

Si buscas entidades, puedes filtrar los resultados según los siguientes criterios:

  • Redes: Filtra por las redes organizativas requeridas de las entidades.
  • Entornos: Filtra por los entornos requeridos relacionados con las entidades.
  • Tipo: Filtra por el tipo de entidad.
  • Es sospechoso: Filtra para mostrar los casos marcados como sospechosos (True) o no (False).
  • Is Internal: Filtra para mostrar entidades internas o externas (True) o no (False).
  • Is Enriched: Filtra para mostrar las entidades enriquecidas por el sistema (True) o no (False).

Realiza acciones en los casos

Puedes realizar acciones individuales o masivas en los casos seleccionados directamente desde los resultados de la búsqueda.

  1. En los resultados de la búsqueda, selecciona la casilla de verificación junto a uno o más casos.
  2. Haz clic en listas Menú y elige una acción:
    • Exportar a CSV: Descarga los datos de los casos seleccionados como un archivo CSV.
    • Cerrar caso: Cierra los casos abiertos seleccionados.
    • Reabrir caso: Vuelve a abrir los casos cerrados seleccionados.
    • Cambiar prioridad: Modifica la prioridad de los casos abiertos seleccionados.
    • Asignar caso: Reasigna los casos abiertos seleccionados a otro usuario.
    • Agregar etiqueta: Agrega etiquetas a los casos abiertos seleccionados.
    • Combinar casos: Combina los casos seleccionados en un caso principal.
    • Change stage: Actualiza la etapa actual de los casos seleccionados.


¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.