SOAR 検索を使用する

以下でサポートされています。

SOAR 検索機能を使用すると、Google Security Operations で特定のケースやエンティティ機能をすばやく見つけることができます。Google SecOps は、環境内のすべてのケースとエンティティの詳細な記録を保持し、関連する調査データにすばやくアクセスできるようにします。ケースのメタデータ、アラート、イベント、ポート、ケースのタイムラインなど、過去 1 年間にインデックス登録されたすべてのデータに対して、フリーテキスト検索とフィールドベースの検索の両方をサポートしています。ケースまたはエンティティを検索できます。

SOAR 検索オプションを確認する

SOAR 検索インターフェースでケースまたはエンティティを検索し、フィルタを使用して結果を絞り込み、個々のケースまたは複数のケースに対してアクションを実行できます。

ケースを検索

デフォルトでは、メインの検索バーの横にあるメニューはケースを検索するように設定されています。各結果には、関連するアラート、エンティティ、分析情報、ケースウォール アクティビティなどの詳細が含まれます。

ケースを検索する手順は次のとおりです。

  1. [調査] > [SOAR 検索] に移動します。
  2. 検索条件を入力します。
    • フリーテキスト検索: メインの検索バーに、ケースに関連するキーワードまたはフレーズを入力します。
    • フィールドベースの検索: 使用可能なフィールド フィルタを使用して、次の特定の条件で検索を絞り込みます。
      • CaseIds
      • TicketIds
      • ポート
      • AlertName
  3. 検索バーの横にある日付選択ツールを使用して、適切な期間を選択します。
  4. ケースをクリックすると、詳細を表示したり、レポートを生成したり、アクションを実行したりできます。

ケース検索の例

  • caseids:180,181 でクエリを実行して、特定のケースデータを返します。ID をクリックして、[Case Details](ケースの詳細)画面に移動します。
  • Ports:663,770 でクエリ: これらのポートを含むすべてのアラートを返します。
  • Entity:10.210.1.13 でクエリを実行して、この IP アドレス 10.210.1.13 をエンティティとして持つすべてのケースを返します。
  • AlertName:IRC Connections でクエリを実行して、一致するアラート名を持つすべてのケースを返します。

エンティティを検索する

検索結果の各エンティティには、エンティティ タイプ、リスクレベル、ロケーション、環境、ケース数が含まれます。1 つのエンティティを複数のケースに関連付けることができます。

エンティティを検索する手順は次のとおりです。

  1. [調査] > [SOAR 検索] に移動します。
  2. 検索バーの横にあるメニューで、[Entities] を選択します。
  3. 検索条件を入力します。
    • フリーテキスト検索: メインの検索バーに、エンティティに関連するキーワードまたはフレーズを入力します。
    • フィールドベースの検索: 使用可能なフィールド フィルタを使用して、含む等しいなどの特定の条件で検索を絞り込みます。
  4. 検索結果でエンティティをクリックすると、コンテキスト、関連するケース、エンティティログが表示されます。

エンティティで検索する例

  • [エンティティ] で検索する場合は、フリーテキスト検索を使用できます。たとえば、「Chronicle」というフリーテキスト検索では、その単語を含むすべてのエンティティが返されます。検索結果には、リスク、場所、環境、ケース数など、各エンティティに関する重要な詳細が表示されます。
  • 個々のエンティティをクリックすると、詳細情報が表示される [エンティティの詳細] ページに移動します。

フィルタを使用して検索結果を絞り込む

フィルタを使用すると、特定の属性を選択して検索結果を絞り込むことができます。

フィルタを使用するには、[適用] をクリックして結果を更新するか、[クリア] をクリックしてフィルタをデフォルト値にリセットします。

ケースのフィルタを検索する

ケースを検索する際は、次の条件でフィルタできます。

  • ステータス: 必要に応じて [オープン] と [クローズ済み] のオプションを選択します。この選択では、オープン ケース、クローズ ケース、または両方のタイプのケースが返されます。
  • 環境: 特定の環境でフィルタします。
  • タグ: ケースに割り当てられたタグでフィルタします。
  • 割り当てられたユーザー: ケースが割り当てられる必要なシステム ユーザーを選択します。
  • Category Outcomes(カテゴリの結果): ケースに割り当てられた結果でフィルタします。
  • ポート: ケースに関与する送信元ポートと宛先ポートでフィルタします。
  • プロダクト: 統合されたプロダクトでフィルタします。
  • Case Source: ケースのソースでフィルタします。
  • ケースのステージ: SOC の方法論に従ってケースのステージでフィルタします。
  • アラートの種類: ケースに関連付けられているアラートの種類でフィルタします。
  • 優先度: ケースに割り当てられた必要な優先度でフィルタします。
  • 重要度: 重要(True)または重要でない(False)とマークされたケースを表示するフィルタ。
  • Is Incident: インシデント(True)としてマークされているケースとマークされていないケース(False)を表示するフィルタ。

エンティティ フィルタを検索する

エンティティを検索する場合は、次の条件に基づいて結果をフィルタできます。

  • ネットワーク: エンティティの必要な組織ネットワークでフィルタします。
  • 環境: エンティティに関連する必要な環境でフィルタします。
  • タイプ: エンティティのタイプでフィルタします。
  • Is Suspicious: 不審(True)または不審でない(False)としてフラグが設定されたケースを表示するようにフィルタします。
  • Is Internal: 内部エンティティ(True)または外部エンティティ(False)を表示するかどうかをフィルタします。
  • Is Enriched: システムによってエンティティが拡充されている(True)か、そうでない(False)かを表示するようにフィルタします。

ケースに対してアクションを実行する

選択したケースに対して、検索結果から直接、単一または一括操作を行うことができます。

  1. 検索結果で、1 つ以上のケースの横にあるチェックボックスをオンにします。
  2. リスト メニューをクリックし、操作を選択します。
    • CSV にエクスポート: 選択したケースデータを .CSV ファイルとしてダウンロードします。
    • ケースをクローズする: 選択した未解決ケースをクローズします。
    • Reopen case: 選択したクローズ済みのケースを再開します。
    • 優先度を変更: 選択した未解決のケースの優先度を変更します。
    • ケースを割り当てる: 選択した未解決のケースを別のユーザーに再割り当てします。
    • タグを追加: 選択した未解決のケースにタグを追加します。
    • ケースを統合: 選択したケースを親ケースに統合します。
    • Change stage: 選択したケースの現在のステージを更新します。


さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。