속성 메타데이터 관리

다음에서 지원:

이 문서에서는 속성 메타데이터를 사용하여 시스템에서 이벤트 필드와 이벤트 필드가 표시되는 카테고리(예: 케이스 개요 > 이벤트 필드, 엔티티 화면 > 강화 필드)를 표시하는 방식을 변경하는 방법을 설명합니다. 예를 들어 시스템이 VirusTotal 카테고리에서 VT_ 접두사로 시작하는 모든 이벤트 또는 보강 필드를 그룹화하도록 속성 메타데이터를 구성할 수 있습니다.

메타데이터 속성을 만든 후 유효성을 검사할 수 있습니다. 

속성 메타데이터 추가

속성 메타데이터를 추가하려면 다음 단계를 따르세요.

  1. 설정 > 데이터 구성 > 속성 메타데이터로 이동합니다.
  2. 추가를 클릭합니다.
  3. 다음 필수 정보를 추가합니다.
    • 시스템 이름: 원시 필드의 이름입니다.
    • 표시 이름: 화면에 필드가 표시되는 방식입니다.
    • 그룹 이름: 필드가 표시되는 그룹 또는 카테고리의 이름입니다.
    • 접두사: 여러 필드를 그룹화하는 데 사용되는 접두사입니다.
    • 접두사 자르기: 필드 이름에서 접두사를 삭제합니다.
      예를 들어 VT_ 접두사를 정의하고 자르면 시스템에 VT_department이 부서로 표시됩니다.
    • 표시됨: 페이지에 필드를 표시합니다.
    • 강조 표시됨: 페이지의 강조 표시됨 섹션에 필드를 표시합니다.
  4. 추가를 클릭합니다.

속성 메타데이터 유효성 검사

접두사를 사용했는지 여부에 따라 두 가지 방법으로 속성 메타데이터를 검증할 수 있습니다.

접두사 없이 유효성 검사

접두사 없이 속성 메타데이터를 검증하려면 다음 단계를 따르세요.

  1. 프리픽스 없이 특정 필드의 속성 메타데이터를 추가한 다음 추가를 클릭합니다.
  2. 케이스 > 알림 이벤트 탭으로 이동합니다.
  3. 더보기를 클릭합니다. 카테고리 파일이 측면 탐색 메뉴에 표시됩니다.

접두사로 검증

접두사를 사용하여 속성 메타데이터의 유효성을 검사하려면 다음 단계를 따르세요.

  1. VT_ 접두사를 포함한 여러 필드의 속성 메타데이터를 추가한 다음 저장을 클릭합니다.
  2. 케이스 개요 또는 알림 개요 탭에서 케이스 > 엔티티 하이라이트 위젯으로 이동합니다.
  3. 엔티티를 클릭하여 엔티티 세부정보 페이지를 엽니다.

사용 사례

이 섹션에서는 케이스 내에서 이벤트를 관리하고 표시하는 시스템의 유연성을 보여주는 사용 사례를 설명합니다.

케이스에서 일정의 기본 모양 설정하기

Google SecOps에서 케이스에는 알림의 하위 집합이 포함됩니다. 이러한 알림은 이벤트를 설명하는 특정 필드가 포함된 이벤트에 대한 액세스를 제공합니다. 이를 테스트하려면 새 케이스를 만드세요.
  1. 케이스 > 추가 > 케이스 시뮬레이션을 선택합니다.
  2. 선호하는 환경에서 새 멀웨어 감지됨 케이스를 만듭니다. 다른 케이스가 없는 경우 기본 환경을 사용합니다.
  3. 케이스 설명에서 바이러스 발견됨 알림을 선택한 다음 이벤트 탭을 선택합니다. 시스템에 바이러스 발견됨이라는 단일 이벤트가 표시됩니다.
  4. 바이러스 발견됨 이벤트를 클릭하여 필드 목록을 확인합니다.
  5. 스크롤하여 이벤트 날짜와 관련된 필드를 찾습니다.

케이스의 이벤트 모양 수정

이벤트 모양을 수정하고, 필드 이름을 바꾸고, 필드를 그룹화할 수 있습니다. 이벤트의 모양을 수정하려면 속성 메타데이터를 업데이트해야 합니다. 다음 예에서는 다음 필드가 스페인어로 표시되도록 재구성하는 단계를 설명합니다.
  1. 새 브라우저 탭을 열고 SOAR 설정 > 데이터 구성 > 속성 메타데이터를 클릭합니다.
  2. 추가추가를 클릭하고 다음 표에 따라 표시 이름 필드 값을 재정의합니다.

  3. 다음 필드가 스페인어로 표시되도록 다시 구성합니다.

    • date_hour
    • date_mday
    • date_minute
    • date_month
    • date_second
    • date_wday
    • date_year
    • date_zone

    다음 옵션 중 하나를 선택합니다.

    • 표시됨: 이벤트 설명에 필드를 표시합니다.
    • 강조 표시됨: 필드를 강조 표시된 필드의 전용 그룹으로 이동합니다.
    시스템 이름 표시 이름 그룹 이름 표시 강조 표시
    date_hour Hora Fecha del evento
    date_mday Día del mes Fecha del evento 아니요
    date_minute Minuto Fecha del evento
    date_month Mes Fecha del evento 아니요
    date_second Segunda Fecha del evento 아니요 아니요
    date_wday Día de la semana Fecha del evento 아니요 아니요
    date_year Año Fecha del evento 아니요 아니요
    date_zone Zona horaria Fecha del evento 아니요



도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.