Metadaten von Properties verwalten

Unterstützt in:

In diesem Dokument wird erläutert, wie Sie mit den Eigenschaftenmetadaten ändern, wie das System Ereignisfelder und die Kategorie, in der sie angezeigt werden, präsentiert, z. B. Fallübersicht > Ereignisfelder und Entitätsbildschirm > Anreicherungsfelder. Sie können beispielsweise Metadaten für Attribute so konfigurieren, dass das System alle Ereignis- oder Anreicherungsfelder, die mit dem Präfix VT_ beginnen, in der Kategorie VirusTotal gruppiert.

Sie können die Metadateneigenschaft nach der Erstellung validieren. 

Metadaten für Unterkünfte hinzufügen

So fügen Sie Metadaten für Properties hinzu:

  1. Klicken Sie auf Einstellungen > Datenkonfiguration > Metadaten von Properties.
  2. Klicken Sie auf Hinzufügen.
  3. Geben Sie die folgenden erforderlichen Informationen an:
    • System Name (Systemname): Der Name des Rohfelds.
    • Anzeigename: So wird das Feld auf dem Bildschirm angezeigt.
    • Gruppenname: Der Name der Gruppe oder Kategorie, in der das Feld angezeigt wird.
    • Präfix: Das Präfix, mit dem mehrere Felder gruppiert werden.
    • Präfix entfernen: Entfernt das Präfix aus dem Feldnamen.
      Wenn Sie beispielsweise das Präfix VT_ definieren und kürzen, wird VT_department als Abteilung angezeigt.
    • Wird angezeigt: Das Feld wird auf der Seite angezeigt.
    • Hervorgehoben: Das Feld wird im Bereich Hervorgehoben der Seite angezeigt.
  4. Klicken Sie auf Hinzufügen.

Metadaten von Properties validieren

Sie können die Metadaten von Properties auf zwei Arten validieren, je nachdem, ob Sie ein Präfix verwendet haben.

Ohne Präfix validieren

So validieren Sie die Metadaten der Properties ohne Präfix:

  1. Fügen Sie Metadaten für ein bestimmtes Feld ohne Präfix hinzu und klicken Sie dann auf Hinzufügen.
  2. Rufen Sie den Tab Fälle > Benachrichtigungsereignis auf.
  3. Klicken Sie auf Mehr ansehen. Die Kategoriedatei wird in der Seitenleiste angezeigt.

Mit einem Präfix bestätigen

So prüfen Sie die Metadaten der Properties mit einem Präfix:

  1. Fügen Sie Metadaten für mehrere Felder hinzu, einschließlich eines VT_-Präfixes, und klicken Sie dann auf Speichern.
  2. Rufen Sie auf dem Tab Fallübersicht oder Benachrichtigungsübersicht das Widget Highlights für Rechtssubjekte auf (Fälle > Highlights für Rechtssubjekte).
  3. Klicken Sie auf eine Entität, um die Seite Entitätsdetails zu öffnen.

Anwendungsfälle

In diesem Abschnitt werden Anwendungsfälle beschrieben, die die Flexibilität des Systems beim Verwalten und Anzeigen von Ereignissen in Fällen veranschaulichen.

Standarddarstellung von Terminen in Cases festlegen

In Google SecOps enthalten Fälle eine Teilmenge von Warnungen. Diese Benachrichtigungen bieten Zugriff auf Ereignisse, die bestimmte Felder enthalten, in denen das Ereignis beschrieben wird. So testen Sie das: Erstellen Sie einen neuen Fall:
  1. Wählen Sie Fälle > Hinzufügen > Fälle simulieren aus.
  2. Erstellen Sie in Ihrer bevorzugten Umgebung eine neue Anfrage vom Typ Malware Detected (Malware erkannt). Wenn Sie keinen anderen Fall haben, verwenden Sie die Standardumgebung.
  3. Wählen Sie in der Fallbeschreibung eine Virus Found-Benachrichtigung und dann den Tab Events (Ereignisse) aus. Das System zeigt ein einzelnes Ereignis mit dem Namen Virus gefunden an.
  4. Klicken Sie auf das Ereignis Virus gefunden, um die Liste der Felder aufzurufen.
  5. Scrollen Sie, um die Felder für das Veranstaltungsdatum zu finden.

Darstellung der Ereignisse in Fällen ändern

Sie können die Darstellung von Ereignissen ändern, Felder umbenennen und gruppieren. Wenn Sie das Erscheinungsbild eines Ereignisses ändern möchten, müssen Sie die Metadaten der Properties aktualisieren. Im folgenden Beispiel wird beschrieben, wie Sie die folgenden Felder so neu konfigurieren, dass sie auf Spanisch angezeigt werden.
  1. Öffnen Sie einen neuen Tab im Browser und klicken Sie auf SOAR Settings > Data Configuration > Properties Metadata.
  2. Klicken Sie auf HinzufügenHinzufügen und definieren Sie die Feldwerte für Anzeigename gemäß der folgenden Tabelle neu.

  3. Konfigurieren Sie die folgenden Felder so, dass sie auf Spanisch angezeigt werden:

    • date_hour
    • date_mday
    • date_minute
    • date_month
    • date_second
    • date_wday
    • date_year
    • date_zone

    Wählen Sie eine der folgenden Optionen aus:

    • Wird angezeigt: Das Feld wird in der Ereignisbeschreibung angezeigt.
    • Hervorgehoben: Das Feld wird in eine separate Gruppe mit hervorgehobenen Feldern verschoben.
    Systemname Anzeigename Gruppenname Wird angezeigt Wird hervorgehoben
    date_hour Hora Fecha del evento Ja Ja
    date_mday Día del mes Fecha del evento Ja Nein
    date_minute Minuto Fecha del evento Ja Ja
    date_month Mes Fecha del evento Ja Nein
    date_second Segunda Fecha del evento Nein Nein
    date_wday Día de la semana Fecha del evento Nein Nein
    date_year Año Fecha del evento Nein Nein
    date_zone Zona horaria Fecha del evento Ja no



Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten