管理案件中的標記
支援的國家/地區:
Google SecOps
SOAR
本文說明如何在 Google Security Operations 案件中管理標記。
標記可協助分類及整理案件,方便篩選和分析。系統會根據預先定義的規則自動指派,您也可以從「案件」頁面手動新增。雖然可以從個別案件移除標籤,但標籤本身仍會保留在系統中。
您可能也想匯入代碼,例如從測試環境遷移至正式環境,或是為了備份。
匯入代碼
如要匯入代碼,請按照下列步驟操作:
- 依序前往「SOAR 設定」>「案件資料」>「標記」。
- 按一下 vertical_align_bottom 「下載範本」。CSV 檔案會顯示必要的代碼匯入結構。
- 輸入代碼資訊。
- 按一下「登入」 匯入。匯入的代碼應會顯示在平台中。
新增代碼
如要新增代碼,請按照下列步驟操作:
- 依序前往「SOAR 設定」>「案件資料」>「標記」。
- 按一下「新增」 新增代碼。
- 在「代碼名稱」欄位中,輸入代碼名稱。
- 從「實體」、「產品」、「規則產生器」和「供應商」中選取比對來源。
- 從選單中選擇限定符,定義值的比對方式:
- 包含
- exact
- 開頭為
- 結尾為
- 選取特定實體或產品來源。視需要輸入適當的「屬性」和「值」。你也可以選取「產品」、「規則產生器」或「供應商」。
- 選取代碼的優先順序。
注意:Google SecOps 會將優先順序與其他快訊、實體和事件合併,因此這裡的優先順序並非絕對值。 - 選用:如需案件名稱,請選取「可以是案件名稱」。選取這個選項後,如果符合條件,系統就會將標記指派為案件標題。
- 按一下 [儲存]。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。