Gerenciar metadados de propriedades

Compatível com:

Este documento explica como usar os metadados de propriedades para mudar a forma como o sistema apresenta os campos de eventos e a categoria em que eles aparecem, como Visão geral do caso > Campos de eventos e Tela de entidade > Campos de enriquecimento. Por exemplo, é possível configurar metadados de propriedades para que o sistema agrupe todos os eventos ou campos de enriquecimento que começam com o prefixo VT_ na categoria VirusTotal.

É possível validar a propriedade de metadados depois de criá-la. 

Adicionar metadados de propriedades

Para adicionar metadados de propriedades, siga estas etapas:

  1. Acesse Configurações > Configuração de dados > Metadados da propriedade.
  2. Clique em Adicionar.
  3. Adicione as seguintes informações obrigatórias:
    • Nome do sistema: o nome do campo bruto.
    • Nome de exibição: como o campo aparece na tela.
    • Nome do grupo: o nome do grupo ou da categoria em que o campo aparece.
    • Prefixo: o prefixo usado para agrupar vários campos.
    • Remover prefixo: remove o prefixo do nome do campo.
      Por exemplo, se você definir e remover o prefixo VT_, o sistema vai mostrar VT_department como departamento.
    • É exibido: mostra o campo na página.
    • Está destacado: mostra o campo na seção Destacado da página.
  4. Clique em Adicionar.

Validar metadados de propriedades

É possível validar os metadados de propriedades de duas maneiras, dependendo de você ter usado um prefixo.

Validar sem um prefixo

Para validar os metadados de propriedades sem um prefixo, siga estas etapas:

  1. Adicione metadados de propriedades para um campo específico sem prefixo e clique em Adicionar.
  2. Acesse a guia Casos > Evento de alertas.
  3. Clique em Ver mais. O Arquivo de categoria aparece no painel lateral.

Validar com um prefixo

Para validar os metadados de propriedades com um prefixo, siga estas etapas:

  1. Adicione metadados de propriedades para vários campos, incluindo um prefixo VT_, e clique em Salvar.
  2. Acesse o widget Destaques de entidades em Casos > na guia Visão geral de casos ou Visão geral de alertas.
  3. Clique em uma entidade para abrir a página Detalhes da entidade.

Casos de uso

Esta seção descreve casos de uso que demonstram a flexibilidade do sistema para gerenciar e mostrar eventos em casos.

Definir a aparência padrão dos eventos em casos

No Google SecOps, os casos contêm um subconjunto de alertas. Esses alertas dão acesso a eventos, que incluem campos específicos que descrevem o evento. Para testar isso, crie um caso:
  1. Selecione Casos > Adicionar > Simular casos.
  2. Crie um novo caso de Malware detectado no ambiente de sua preferência. Se você não tiver outro caso, use o ambiente padrão.
  3. Na descrição do caso, selecione um alerta Vírus encontrado e clique na guia Eventos. O sistema mostra um único evento, também chamado de Vírus encontrado.
  4. Clique no evento Vírus encontrado para ver a lista de campos.
  5. Role a tela para encontrar os campos relacionados à data do evento.

Modificar a aparência dos eventos nos casos

É possível modificar a aparência dos eventos, renomear campos e agrupá-los. Para modificar a aparência de um evento, atualize os Metadados de propriedades. O exemplo a seguir descreve as etapas para reconfigurar os campos a seguir para aparecer em espanhol.
  1. Abra uma nova guia do navegador e clique em Configurações do SOAR > Configuração de dados > Metadados de propriedades.
  2. Clique em AdicionarAdicionar e redefina os valores do campo Nome de exibição de acordo com a tabela a seguir.

  3. Reconfigure os seguintes campos para aparecerem em espanhol:

    • date_hour
    • date_mday
    • date_minute
    • date_month
    • date_second
    • date_wday
    • date_year
    • date_zone

    Selecione uma das seguintes opções:

    • É exibido: mostra o campo na descrição do evento.
    • É destacado: move o campo para um grupo dedicado de campos destacados.
    Nome do sistema Nome de exibição Nome do grupo É exibido É destacado
    date_hour Hora Fecha del evento sim sim
    date_mday Día del mes Fecha del evento sim não
    date_minute Minuto Fecha del evento sim sim
    date_month Mes Fecha del evento sim não
    date_second Segunda Fecha del evento não não
    date_wday Día de la semana Fecha del evento não não
    date_year Año Fecha del evento não não
    date_zone Zona horaria Fecha del evento sim não



Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.