Supportanfragen – Übersicht

Unterstützt in:

Google Security Operations erfasst Benachrichtigungen aus einer Vielzahl von Quellen. Jede Benachrichtigung enthält die zugrunde liegenden Sicherheitsereignisse und wichtigen Indikatoren (z. B. Quellen, Ziele, Artefakte), die geparst und analysiert werden. Bei dieser Analyse werden wichtige Indikatoren wie Quell- und Ziel-IPs, Dateihashes oder Nutzerkonten extrahiert und als Entitäten dargestellt. Entitäten sind persistente Objekte auf der Plattform. Sie erfassen Anreicherungsdaten, Analystenkommentare und den bisherigen Kontext, sodass Analysten das Verhalten von Entitäten im Zeitverlauf und über verschiedene Fälle hinweg nachvollziehen können. Entitäten werden auch auf der visuellen Arbeitsfläche angezeigt, um Beziehungen in der Bedrohungslandschaft zu veranschaulichen.

Supportanfragen erstellen und gruppieren

Auf der Seite Fälle können Analysten eingehende Benachrichtigungen untersuchen und Vorfalls-Workflows verwalten. Sie können auch zusätzliche Benachrichtigungen basierend auf gemeinsamen Einheiten und konfigurierbaren Regeln automatisch in vorhandene Fälle gruppieren. Analysten haben außerdem folgende Möglichkeiten:

  • Zusätzliche Benachrichtigungen werden anhand gemeinsamer Entitäten und konfigurierbarer Regeln automatisch in bestehenden Fällen gruppiert.
  • Fälle manuell erstellen oder simulieren, um sie zu testen und zu trainieren.

Kopfzeile und Ansichten der Fallwarteschlange

Alle aktiven Fälle aus verschiedenen Connectors werden in der Fallwarteschlange angezeigt. Jeder Fall enthält wichtige Metadaten wie:

  • Fallname und eindeutige ID
  • Zeitstempel des Falls
  • Anzahl der zugehörigen Warnungen
  • Zugewiesener Analyst (mit Avatar)
  • Fallpriorität und ‑phase (optional, je nach Ansicht)

Analysten können zwischen diesen Ansichten wechseln:

  • Standardansicht: Hier werden Fallkarten mit wichtigen Informationen angezeigt.
  • Kompakte Ansicht: Reduziert den visuellen Platzbedarf für ein schnelleres Scannen.
  • Listenansicht: Hier werden alle Fälle in einem Tabellenformat für Bulk-Vorgänge oder zum Filtern angezeigt.

Obere Leiste des Case

In der Fall-Kopfzeile werden Kontextinformationen auf Fallebene und verfügbare Aktionen angezeigt, wie unten beschrieben:

  • In der Kopfzeile der Fallwarteschlange werden der Falltitel, die ID, die Priorität, die Phase, der Zeitstempel, die Änderungs-Umgebung und die Tags angezeigt.
  • Außerdem wird der zugewiesene Analyst (Name oder Rolle) angezeigt und es gibt Steuerelemente für Chat, Fall schließen, Aktualisieren, Erkunden und das Menü Fallaktionen.

Weitere Informationen finden Sie unter Was ist auf der Seite „Fälle“ zu sehen?

Tab „Anfrage“

Jeder Fall enthält mehrere Tabs, die Analysten dabei helfen, Falldaten zu prüfen, zu untersuchen und darauf zu reagieren. Auf diesen Tabs werden wichtige Informationen – von allgemeinen Zusammenfassungen bis hin zu detaillierten Logs und Benachrichtigungsdaten – in einem einheitlichen, navigierbaren Format organisiert.

Tab „Anfrageübersicht“

Auf dem Tab Fallübersicht werden fallbezogene Widgets angezeigt, die vom Administrator konfiguriert wurden. Weitere Informationen finden Sie unter Tab „Fallübersicht“.

Tab „Fall-Repository“

Auf dem Tab Case Wall (Vorgangswand) wird ein chronologisches Protokoll aller vorgangsbezogenen Ereignisse und Aktionen angezeigt, von der Erstellung bis zum Schließen des Vorgangs. Wenn Sie diesen Tab öffnen, können Sie fallbezogene Informationen wie Aufgaben, Nutzerkommentare, angepinnte Chatnachrichten, manuelle und Systemaktionen sowie Dateianhänge (bis zu 50 MB pro Datei) ansehen. Jeder Inhaltstyp wird durch ein Symbol im oberen Bereich der Fallübersicht dargestellt.

Auf diesem Tab haben Sie folgende Möglichkeiten:

  • Klicken Sie auf Mehr anzeigen, um sowohl die Standard-UI-Ergebnisse als auch die entsprechenden JSON-Daten aufzurufen.
  • Wenn Sie Ereignisdetails aufrufen möchten, klicken Sie auf ein oder mehrere Ereignissymbole.
  • Klicken Sie auf den Pfeil neben den Symbolen, um eine bestimmte Benachrichtigung auszuwählen.
  • Wenn Sie Ereignisse für alle Benachrichtigungen im Fall ansehen möchten, wählen Sie Alle Benachrichtigungen aus.
    • Symbol Beschreibung
    Symbol für Aktionsdetails Hier werden Aktionen, die für Benachrichtigungen ausgeführt wurden, in einer Tabelle angezeigt. Dazu gehören der Aktionsname, der Zeitstempel, der Name der Benachrichtigung, das Ergebnis und der Status (Abgeschlossen oder Fehler).
    Klicken Sie auf Mehr anzeigen, um die Ergebnisse, Parameter und betroffenen Einheiten zu maximieren. Klicken Sie auf Weniger anzeigen, um die Ansicht zu minimieren.
    Symbol für Statusänderung des Falls Hier werden alle vom System und von Nutzern generierten Änderungen des Fallstatus angezeigt, z. B. Aktualisierungen des Titels, der Phase, der Priorität, der Zuweisung und des Abschlusses.
    Symbol für Taskdetails Hier werden aufgabenbezogene Aktivitäten angezeigt. Wenn eine Aufgabe erledigt ist, klicken Sie auf Aufgabe erledigen. Der Status wird zusammen mit einem Zeitstempel und Ihren Kommentaren auf Abgeschlossen aktualisiert.
    Kommentarsymbol Hier werden Kommentare angezeigt, die manuell oder durch die Aktion Fallkommentar hinzugefügt wurden.
    Symbol für angepinnte Chats Hier werden angepinnte Nachrichten aus dem Dialogfeld Chatnachricht angezeigt.
    Symbol für Lieblingsartikel Zeigt Elemente an, die im Fall-Repository als Favoriten markiert sind. Klicken Sie dazu auf das gelbe Sternsymbol.
    Symbol zum Sortieren Sortiert Ereignisprotokolle nach Zeitstempel, entweder vom neuesten zum ältesten oder vom ältesten zum neuesten.
    Insights-Symbol Hier werden allgemeine Statistiken und Warnungen zum Fall und zu den zugehörigen Entitäten angezeigt.

    Weitere Informationen finden Sie im Hilfeartikel Was ist auf dem Tab „Case Wall“ zu sehen?

  • Tab Benachrichtigungsübersicht: Hier werden alle mit dem Fall verknüpften Benachrichtigungen aufgeführt, einschließlich zugehöriger Ereignisse und Metadaten. Auf diesem Tab werden wichtige Informationen und Ereignisse im Zusammenhang mit dem Fall angezeigt.
  • In der Fallwarteschlange, die jede Minute automatisch aktualisiert wird, werden alle aktiven Fälle aufgeführt. Sie können Fälle nach Bedarf manuell aktualisieren, sortieren, filtern, hinzufügen oder schließen.

Playbook-Automatisierung

Playbooks sind vordefinierte Aktionssätze, mit denen Informationen aus internen und externen Warnquellen erfasst werden. Anschließend entscheiden sie, wie sie mit diesen Benachrichtigungen umgehen oder Vorgänge auf Remote-Systemen ausführen, z. B. einen Firewallport blockieren oder einen Active Directory-Nutzer deaktivieren. Google SecOps führt diese Aktionen automatisch oder halbautomatisch auf Grundlage der Playbook-Trigger bei jeder Benachrichtigungsausgabe aus.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten