プロパティのメタデータを管理する

以下でサポートされています。

このドキュメントでは、プロパティ メタデータを使用して、システムがイベント フィールドを表示する方法と、イベント フィールドが表示されるカテゴリ([ケースの概要] > [イベント フィールド]、[エンティティ画面] > [拡充フィールド] など)を変更する方法について説明します。たとえば、VT_ 接頭辞で始まるすべてのイベント フィールドまたは拡充フィールドを VirusTotal カテゴリにグループ化するように、プロパティ メタデータを構成できます。

メタデータ プロパティは、作成後に検証できます。 

プロパティのメタデータを追加する

プロパティのメタデータを追加する手順は次のとおりです。

  1. [設定] > [データ構成] > [プロパティ メタデータ] に移動します。
  2. [追加] をクリックします。
  3. 次の必須情報を追加します。
    • System Name: 生フィールドの名前。
    • 表示名: 画面に表示されるフィールドの名前。
    • グループ名: フィールドが表示されるグループまたはカテゴリの名前。
    • プレフィックス: 複数のフィールドをグループ化するために使用されるプレフィックス。
    • 接頭辞を削除: フィールド名から接頭辞を削除します。
      たとえば、VT_ プレフィックスを定義してトリミングすると、システムに部門として VT_department が表示されます。
    • 表示: ページにフィールドを表示します。
    • ハイライト表示: ページの [ハイライト表示] セクションにフィールドを表示します。
  4. 追加)をクリックします。

プロパティのメタデータを検証する

プロパティのメタデータは、接頭辞を使用したかどうかに応じて、次の 2 つの方法で検証できます。

プレフィックスなしで検証する

接頭辞なしでプロパティのメタデータを検証する手順は次のとおりです。

  1. 接頭辞なしで特定のフィールドのプロパティ メタデータを追加し、[追加] をクリックします。
  2. [Cases] > [Alerts Event] タブに移動します。
  3. [さらに表示] をクリックします。サイドドロワーに [カテゴリ ファイル] が表示されます。

プレフィックスで検証する

接頭辞付きのプロパティ メタデータを検証する手順は次のとおりです。

  1. VT_ 接頭辞を含む複数のフィールドのプロパティ メタデータを追加し、[保存] をクリックします。
  2. [ケースの概要] タブまたは [アラートの概要] タブの [ケース] > [エンティティ ハイライト] ウィジェットに移動します。
  3. エンティティをクリックして、[エンティティの詳細] ページを開きます。

ユースケース

このセクションでは、ケース内のイベントを管理および表示するシステムの柔軟性を示すユースケースについて説明します。

ケースの予定のデフォルトの表示を設定する

Google SecOps では、ケースにはアラートのサブセットが含まれます。これらのアラートは、イベントへのアクセスを提供します。イベントには、イベントを説明する特定のフィールドが含まれます。これをテストするには、新しいケースを作成します。
  1. [ケース] > [追加] > [ケースをシミュレート] を選択します。
  2. 任意の環境で新しい [Malware Detected](マルウェアが検出されました)ケースを作成します。別のケースがない場合は、デフォルト環境を使用します。
  3. ケースの説明で、アラート [Virus Found] を選択し、[Events] タブを選択します。システムに [Virus Found] という名前の単一のイベントが表示されます。
  4. [Virus Found] イベントをクリックして、フィールドのリストを表示します。
  5. スクロールして、イベントの日付に関連するフィールドを見つけます。

ケースのイベントの外観を変更する

イベントの外観を変更したり、フィールドの名前を変更してグループ化したりできます。イベントの外観を変更するには、プロパティ メタデータを更新する必要があります。次の例では、次のフィールドをスペイン語で表示するように再構成する手順について説明します。
  1. 新しいブラウザタブを開き、[SOAR Settings] > [Data Configuration] > [Properties Metadata] をクリックします。
  2. [追加] 追加 をクリックし、次の表に従って [表示名] フィールドの値を再定義します。

  3. 次のフィールドをスペイン語で表示するように再構成します。

    • date_hour
    • date_mday
    • date_minute
    • date_month
    • date_second
    • date_wday
    • date_year
    • date_zone

    次のオプションのいずれかを選択します。

    • 表示: イベントの説明にフィールドを表示します。
    • ハイライト表示: フィールドをハイライト表示されたフィールドの専用グループに移動します。
    システム名 表示名 グループ名 表示する ハイライト表示
    date_hour Hora Fecha del evento はい
    date_mday Día del mes Fecha del evento ×
    date_minute Minuto Fecha del evento
    date_month Mes Fecha del evento ×
    date_second Segunda Fecha del evento × ×
    date_wday Día de la semana Fecha del evento × ×
    date_year Año Fecha del evento × ×
    date_zone Zona horaria Fecha del evento いいえ



さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。