Gestionar metadatos de propiedades

Disponible en:

En este documento se explica cómo usar los metadatos de las propiedades para cambiar la forma en que el sistema presenta los campos de eventos y la categoría en la que aparecen, como Resumen del caso > Campos de eventos y Pantalla de entidad > Campos de enriquecimiento. Por ejemplo, puede configurar los metadatos de las propiedades de forma que el sistema agrupe todos los eventos o campos de enriquecimiento que empiecen por el prefijo VT_ en la categoría VirusTotal.

Puedes validar la propiedad de metadatos después de crearla. 

Añadir metadatos de propiedades

Para añadir metadatos de propiedades, siga estos pasos:

  1. Vaya a Configuración > Datos > Metadatos de propiedades.
  2. Haz clic en Añadir.
  3. Añada la siguiente información obligatoria:
    • Nombre del sistema: el nombre del campo sin procesar.
    • Nombre visible: cómo se muestra el campo en la pantalla.
    • Nombre del grupo: nombre del grupo o la categoría en la que aparece el campo.
    • Prefijo: el prefijo que se usa para agrupar varios campos.
    • Eliminar prefijo: elimina el prefijo del nombre del campo.
      Por ejemplo, si defines y recortas el prefijo VT_, el sistema muestra VT_department como departamento.
    • Se muestra: muestra el campo en la página.
    • Está destacado: muestra el campo en la sección Destacado de la página.
  4. Haz clic en Añadir.

Validar metadatos de propiedades

Puede validar los metadatos de las propiedades de dos formas, en función de si ha usado un prefijo.

Validar sin prefijo

Para validar los metadatos de las propiedades sin prefijo, siga estos pasos:

  1. Añade metadatos de propiedades a un campo específico sin prefijo y, a continuación, haz clic en Añadir.
  2. Ve a la pestaña Casos > Alertas de eventos.
  3. Haz clic en Ver más. El archivo de categoría Category File aparece en el menú lateral.

Validar con un prefijo

Para validar los metadatos de las propiedades con un prefijo, siga estos pasos:

  1. Añada metadatos de propiedades para varios campos, incluido un prefijo VT_ , y, a continuación, haga clic en Guardar.
  2. Ve a Casos > widget Destacado de entidades en la pestaña Resumen de casos o Resumen de alertas.
  3. Haz clic en una entidad para abrir la página Detalles de la entidad.

Casos prácticos

En esta sección se describen casos prácticos que demuestran la flexibilidad del sistema para gestionar y mostrar eventos en casos.

Definir la apariencia predeterminada de los eventos en los casos

En Google SecOps, los casos contienen un subconjunto de alertas. Estas alertas proporcionan acceso a eventos, que incluyen campos específicos que describen el evento. Para probarlo, crea un caso nuevo:
  1. Selecciona Casos > Añadir > Simular casos.
  2. Crea un caso de Malware detectado en el entorno que prefieras. Si no tienes otro caso, usa el entorno predeterminado.
  3. En la descripción del caso, selecciona la alerta Virus Found (Virus encontrado) y, a continuación, la pestaña Events (Eventos). El sistema muestra un solo evento, también llamado Virus Found (Virus encontrado).
  4. Haz clic en el evento Virus encontrado para ver la lista de campos.
  5. Desplázate para encontrar los campos relacionados con la fecha del evento.

Modificar la apariencia de los eventos en los casos

Puede modificar la apariencia de los eventos, cambiar el nombre de los campos y agruparlos. Para modificar la apariencia de un evento, debe actualizar los metadatos de propiedades. En el siguiente ejemplo se describen los pasos para volver a configurar los campos que se muestran en español.
  1. Abre una nueva pestaña del navegador y haz clic en Configuración de SOAR > Configuración de datos > Metadatos de propiedades.
  2. Haz clic en AñadirAñadir y redefine los valores del campo Nombre visible según la siguiente tabla.

  3. Vuelve a configurar los siguientes campos para que aparezcan en español:

    • date_hour
    • date_mday
    • date_minute
    • date_month
    • date_second
    • date_wday
    • date_year
    • date_zone

    Selecciona una de las opciones siguientes:

    • Se muestra: muestra el campo en la descripción del evento.
    • Está resaltado: mueve el campo a un grupo específico de campos resaltados.
    Nombre del sistema Nombre visible Nombre del grupo Se muestra Se ha resaltado
    date_hour Hora Fecha del evento yes
    date_mday Día del mes Fecha del evento no
    date_minute Minuto Fecha del evento
    date_month Mes Fecha del evento no
    date_second Segunda Fecha del evento no no
    date_wday Día de la semana Fecha del evento no no
    date_year Año Fecha del evento no no
    date_zone Zona horaria Fecha del evento yes no



¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.