Faça a gestão dos metadados de propriedades

Compatível com:

Este documento explica como usar os metadados das propriedades para alterar a forma como o sistema apresenta os campos de eventos e a categoria onde aparecem, como Vista geral do registo > Campos de eventos e Ecrã da entidade > Campos de enriquecimento. Por exemplo, pode configurar os metadados das propriedades de modo que o sistema agrupe todos os eventos ou campos de enriquecimento que comecem pelo prefixo VT_ na categoria VirusTotal.

Pode validar a propriedade de metadados depois de a criar. 

Adicione metadados de propriedades

Para adicionar metadados de propriedades, siga estes passos:

  1. Aceda a Definições > Configuração de dados > Metadados das propriedades.
  2. Clique em Adicionar.
  3. Adicione as seguintes informações obrigatórias:
    • Nome do sistema: o nome do campo de dados não processados.
    • Nome a apresentar: como o campo aparece no ecrã.
    • Nome do grupo: o nome do grupo ou da categoria onde o campo aparece.
    • Prefixo: o prefixo usado para agrupar vários campos.
    • Remover prefixo: remove o prefixo do nome do campo.
      Por exemplo, se definir e cortar o prefixo VT_, o sistema apresenta VT_department como departamento.
    • É apresentado: apresenta o campo na página.
    • Está realçado: apresenta o campo na secção Realçado da página.
  4. Clique em Adicionar.

Valide os metadados de propriedades

Pode validar os metadados das propriedades de duas formas, consoante tenha usado um prefixo ou não.

Valide sem um prefixo

Para validar os metadados das propriedades sem um prefixo, siga estes passos:

  1. Adicione metadados de propriedades para um campo específico sem um prefixo e, de seguida, clique em Adicionar.
  2. Aceda a Registos > separador Evento de alertas.
  3. Clique em Ver mais. O ficheiro de categoria é apresentado na gaveta lateral.

Valide com um prefixo

Para validar os metadados das propriedades com um prefixo, siga estes passos:

  1. Adicione metadados de propriedades para vários campos, incluindo um prefixo VT_ e, de seguida, clique em Guardar.
  2. Aceda a Registos > widget Destaques das entidades no separador Vista geral dos registos ou Vista geral dos alertas.
  3. Clique numa entidade para abrir a página Detalhes da entidade.

Exemplos de utilização

Esta secção descreve exemplos de utilização que demonstram a flexibilidade do sistema para gerir e apresentar eventos em registos.

Defina o aspeto predefinido dos eventos nos registos

No Google SecOps, os registos contêm um subconjunto de alertas. Estes alertas dão acesso a eventos, que incluem campos específicos que descrevem o evento. Para testar esta funcionalidade, crie um novo registo:
  1. Selecione Registos > Adicionar > Simular registos.
  2. Crie um novo registo de Software malicioso detetado no seu ambiente preferido. Se não tiver outro ambiente, use o ambiente predefinido.
  3. Na descrição do registo, selecione um alerta Vírus encontrado e, de seguida, selecione o separador Eventos. O sistema apresenta um único evento, também denominado Vírus encontrado.
  4. Clique no evento Vírus encontrado para ver a lista de campos.
  5. Desloque a página para encontrar os campos relacionados com a data do evento.

Modifique o aspeto dos eventos nos registos

Pode modificar o aspeto dos eventos, mudar o nome dos campos e agrupá-los. Para modificar o aspeto de um evento, tem de atualizar os metadados das propriedades. O exemplo seguinte descreve os passos para reconfigurar os seguintes campos para serem apresentados em espanhol.
  1. Abra um novo separador do navegador e clique em Definições de SOAR > Configuração de dados > Metadados de propriedades.
  2. Clique em adicionarAdicionar e redefina os valores do campo Nome a apresentar de acordo com a tabela seguinte.

  3. Reconfigure os seguintes campos para aparecerem em espanhol:

    • date_hour
    • date_mday
    • date_minute
    • date_month
    • date_second
    • date_wday
    • date_year
    • date_zone

    Selecione uma das seguintes opções:

    • É apresentado: apresenta o campo na descrição do evento.
    • Está realçado: move o campo para um grupo dedicado de campos realçados.
    Nome do sistema Nome a apresentar Nome do grupo É apresentado Está realçado
    date_hour Hora Fecha del evento sim sim
    date_mday Día del mes Fecha del evento sim não
    date_minute Minuto Fecha del evento sim sim
    date_month Mes Fecha del evento sim não
    date_second Segunda Fecha del evento não não
    date_wday Día de la semana Fecha del evento não não
    date_year Año Fecha del evento não não
    date_zone Zona horaria Fecha del evento sim não



Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.