Administra los metadatos de las propiedades

Compatible con:

En este documento, se explica cómo usar los metadatos de las propiedades para cambiar la forma en que el sistema presenta los campos de eventos y la categoría en la que aparecen, como Resumen del caso > Campos de eventos y Pantalla de entidad > Campos de enriquecimiento. Por ejemplo, puedes configurar los metadatos de las propiedades de modo que el sistema agrupe todos los eventos o los campos de enriquecimiento que comiencen con el prefijo VT_ en la categoría VirusTotal.

Puedes validar la propiedad de metadatos después de crearla. 

Agrega metadatos de propiedades

Para agregar metadatos de propiedades, sigue estos pasos:

  1. Ve a Configuración > Configuración de datos > Metadatos de propiedades.
  2. Haga clic en Add.
  3. Agrega la siguiente información obligatoria:
    • Nombre del sistema: Es el nombre del campo sin procesar.
    • Nombre visible: Es la forma en que aparece el campo en la pantalla.
    • Nombre del grupo: Es el nombre del grupo o la categoría en la que aparece el campo.
    • Prefijo: Es el prefijo que se usa para agrupar varios campos.
    • Trim Prefix: Quita el prefijo del nombre del campo.
      Por ejemplo, si defines y recortas el prefijo VT_, el sistema muestra VT_department como departamento.
    • Se muestra: Muestra el campo en la página.
    • Destacado: Muestra el campo en la sección Destacado de la página.
  4. Haga clic en Add.

Valida los metadatos de las propiedades

Puedes validar los metadatos de las propiedades de dos maneras, según si usaste un prefijo.

Validar sin prefijo

Para validar los metadatos de las propiedades sin un prefijo, sigue estos pasos:

  1. Agrega metadatos de propiedades para un campo específico sin prefijo y, luego, haz clic en Agregar.
  2. Ve a la pestaña Alerts Event en Cases >.
  3. Haz clic en Ver más. El archivo de categoría aparece en el panel lateral.

Valida con un prefijo

Para validar los metadatos de las propiedades con un prefijo, sigue estos pasos:

  1. Agrega metadatos de propiedades para varios campos, incluido un prefijo VT_, y, luego, haz clic en Guardar.
  2. Ve al widget Aspectos destacados de las entidades en Casos > en la pestaña Descripción general de los casos o Descripción general de las alertas.
  3. Haz clic en una entidad para abrir la página Detalles de la entidad.

Casos de uso

En esta sección, se describen casos de uso que demuestran la flexibilidad del sistema para administrar y mostrar eventos dentro de los casos.

Cómo establecer la apariencia predeterminada de los eventos en los casos

En Google SecOps, los casos contienen un subconjunto de alertas. Estas alertas proporcionan acceso a eventos, que incluyen campos específicos que describen el evento. Para probar esto, crea un caso nuevo:
  1. Selecciona Cases > Add > Simulate Cases.
  2. Crea un caso nuevo de Se detectó software malicioso en tu entorno preferido. Si no tienes otro caso, usa el entorno predeterminado.
  3. En la descripción del caso, selecciona una alerta Virus Found y, luego, selecciona la pestaña Events. El sistema muestra un solo evento, también llamado Se encontró un virus.
  4. Haz clic en el evento Virus Found para ver la lista de campos.
  5. Desplázate para encontrar los campos relacionados con la fecha del evento.

Modifica la apariencia de los eventos en los casos

Puedes modificar la apariencia de los eventos, cambiar el nombre de los campos y agruparlos. Para modificar la apariencia de un evento, debes actualizar los metadatos de propiedades. En el siguiente ejemplo, se describen los pasos para volver a configurar los siguientes campos para que aparezcan en español.
  1. Abre una pestaña nueva del navegador y haz clic en Configuración de SOAR > Configuración de datos > Metadatos de propiedades.
  2. Haz clic en agregarAgregar y vuelve a definir los valores del campo Nombre visible según la siguiente tabla.

  3. Vuelve a configurar los siguientes campos para que aparezcan en español:

    • date_hour
    • date_mday
    • date_minute
    • date_month
    • date_second
    • date_wday
    • date_year
    • date_zone

    Selecciona una de las siguientes opciones:

    • Se muestra: Muestra el campo en la descripción del evento.
    • Está destacado: Mueve el campo a un grupo exclusivo de campos destacados.
    Nombre del sistema Nombre visible Nombre del grupo Se muestra Se destaca
    date_hour Hora Fecha del evento
    date_mday Día del mes Fecha del evento no
    date_minute Minuto Fecha del evento
    date_month Mes Fecha del evento no
    date_second Segunda Fecha del evento no no
    date_wday Día de la semana Fecha del evento no no
    date_year Año Fecha del evento no no
    date_zone Zona horaria Fecha del evento no



¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.