Utilizzare la ricerca SOAR

Supportato in:

La funzione SOAR Search ti aiuta a individuare rapidamente funzionalità specifiche di casi o entità in Google Security Operations. Google SecOps mantiene registri dettagliati di tutti i casi e le entità nel tuo ambiente, consentendo un rapido accesso ai dati dell'indagine pertinenti. Supporta le ricerche sia in formato libero che basate su campi in tutti i dati indicizzati nell'ultimo anno, inclusi metadati dei casi, avvisi, eventi, porte e cronologie dei casi. Puoi cercare casi o entità.

Esplorare le opzioni di ricerca SOAR

Puoi cercare casi o entità dall'interfaccia SOAR Search, utilizzando i filtri per affinare i risultati e intervenire su uno o più casi.

Cerca casi

Per impostazione predefinita, il menu accanto alla barra di ricerca principale è impostato per la ricerca di richieste. Ogni risultato include dettagli come avvisi, entità, approfondimenti e attività della bacheca del caso associati.

Per cercare le richieste, segui questi passaggi:

  1. Vai a Indagine > Ricerca SOAR.
  2. Inserisci i criteri di ricerca:
    • Ricerca in formato libero: nella barra di ricerca principale, inserisci parole chiave o frasi correlate alla richiesta.
    • Ricerca basata sui campi: utilizza i filtri dei campi disponibili per perfezionare la ricerca in base a criteri specifici, ad esempio:
      • CaseIds
      • TicketIds
      • Porte
      • AlertName
  3. Seleziona il periodo di tempo appropriato utilizzando il selettore della data accanto alla barra di ricerca.
  4. Fai clic su una richiesta per visualizzare maggiori dettagli, generare report o eseguire azioni.

Esempi di ricerche di richieste

  • Esegui una query per caseids:180,181 per restituire dati specifici del caso. Fai clic su un ID per accedere alla schermata Dettagli richiesta.
  • Query per Porte:663,770: per restituire tutti gli avvisi che includono queste porte.
  • Esegui una query per Entity:10.210.1.13 per restituire tutte le richieste che hanno questo indirizzo IP 10.210.1.13 come entità.
  • Esegui query per AlertName:IRC Connections per restituire tutti i casi con un nome di avviso corrispondente.

Cerca entità

Ogni entità nei risultati di ricerca include il tipo di entità, il livello di rischio, la posizione, l'ambiente e il conteggio dei casi. Un'entità può essere associata a più richieste.

Per cercare entità:

  1. Vai a Indagine > Ricerca SOAR.
  2. Nel menu accanto alla barra di ricerca, seleziona Entità.
  3. Inserisci i criteri di ricerca:
    • Ricerca in formato libero: nella barra di ricerca principale, inserisci parole chiave o frasi correlate all'entità.
    • Ricerca basata sui campi: utilizza i filtri dei campi disponibili per perfezionare la ricerca in base a criteri specifici, ad esempio Contiene o Uguale a.
  4. Fai clic su un'entità nei risultati per visualizzare il contesto, i casi correlati e il log dell'entità.

Esempi di ricerca per entità

  • Quando esegui una ricerca per Entità, puoi utilizzare la ricerca a testo libero. Ad esempio, una ricerca a testo libero di Chronicle restituisce tutte le entità contenenti questa parola. I risultati di ricerca mostrano i dettagli chiave di ogni entità, tra cui rischio, posizione, ambiente e numero di casi.
  • Fai clic sulla singola entità per accedere alla pagina Dettagli entità e ottenere maggiori informazioni.

Utilizzare i filtri per perfezionare i risultati di ricerca

I filtri ti consentono di restringere i risultati di ricerca selezionando attributi specifici.

Per utilizzare i filtri, fai clic su Applica per aggiornare i risultati o su Cancella per ripristinare i valori predefiniti dei filtri.

Cercare i filtri delle richieste

Quando cerchi le richieste, puoi filtrare per:

  • Stato: seleziona le opzioni Aperta e Chiusa in base alle tue esigenze. Questa selezione restituisce richieste aperte, chiuse o entrambi i tipi di richieste.
  • Environment (Ambiente): consente di applicare un filtro in base a ambienti specifici.
  • Tag: filtra in base ai tag assegnati alle richieste.
  • Utenti assegnati: seleziona gli utenti di sistema richiesti a cui vengono assegnate le richieste.
  • Risultati della categoria: filtra in base ai risultati assegnati alle richieste.
  • Porte: filtra in base alle porte di origine e di destinazione coinvolte nei casi.
  • Prodotti: filtra in base ai prodotti integrati.
  • Origine della richiesta: consente di applicare un filtro in base all'origine delle richieste.
  • Fase della richiesta: filtra in base alle fasi della richiesta secondo la metodologia SOC.
  • Tipi di avvisi: consente di filtrare in base ai tipi di avvisi associati alle richieste.
  • Priorità: filtra in base alle priorità richieste assegnate alle richieste.
  • Importanza: filtra per visualizzare le richieste contrassegnate come importanti (True) o meno (False).
  • È incidente: filtra per mostrare le richieste contrassegnate come incidenti (True) o meno (False).

Cerca filtri delle entità

Se cerchi entità, puoi filtrare i risultati in base ai seguenti criteri:

  • Reti: filtra in base alle reti organizzative richieste delle entità.
  • Ambienti: consente di applicare un filtro in base agli ambienti richiesti correlati alle entità.
  • Tipo: filtra in base al tipo di entità.
  • È sospetto: filtra per mostrare le richieste contrassegnate come sospette (True) o meno (False).
  • È interno: filtra per mostrare le entità interne o esterne (True) o meno (False).
  • È arricchito: filtra per mostrare le entità arricchite dal sistema (True) o meno (False).

Eseguire azioni sulle richieste

Puoi eseguire azioni singole o collettive sui casi selezionati direttamente dai risultati di ricerca.

  1. Nei risultati di ricerca, seleziona la casella di controllo accanto a una o più richieste.
  2. Fai clic su elenchi Menu e scegli un'azione:
    • Esporta in CSV: scarica i dati selezionati della richiesta come file .CSV.
    • Chiudi richiesta: chiude le richieste aperte selezionate.
    • Riapri richiesta: riapre le richieste chiuse selezionate.
    • Modifica priorità: modifica la priorità delle richieste aperte selezionate.
    • Assegna richiesta: riassegna le richieste aperte selezionate a un altro utente.
    • Aggiungi tag: aggiunge tag alle richieste aperte selezionate.
    • Unisci richieste: unisce le richieste selezionate in una richiesta principale.
    • Cambia fase: aggiorna la fase attuale dei casi selezionati.


Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.