管理媒体资源元数据
支持的平台:
Google SecOps
SOAR
本文档介绍了如何使用属性元数据来更改系统呈现事件字段的方式以及这些字段所属的类别,例如问题概览 > 事件字段和实体界面 > 丰富字段。例如,您可以配置属性元数据,以便系统将以 VT_ 前缀开头的所有事件或丰富字段归入 VirusTotal 类别。
您可以在创建元数据属性后对其进行验证。
添加媒体资源元数据
如需添加房源元数据,请按以下步骤操作:
-
依次前往设置 > 数据配置 > 媒体资源元数据。
- 点击 添加。
-
添加以下必填信息:
- 系统名称:原始字段的名称。
- 显示名:字段在屏幕上的显示方式。
- 组名称:字段所属的组或类别的名称。
- 前缀:用于对多个字段进行分组的前缀。
- 去除前缀:从字段名称中移除前缀。
例如,如果您定义并剪裁了VT_前缀,系统会将VT_department显示为部门。 - 显示:在页面上显示相应字段。
- 突出显示:在页面的突出显示部分中显示相应字段。
- 点击添加。
验证房源元数据
您可以采用两种方式验证媒体资源元数据,具体取决于您是否使用了前缀。
验证时不带前缀
如需验证没有前缀的媒体资源元数据,请按以下步骤操作:
- 为没有前缀的特定字段添加属性元数据,然后点击 Add。
- 依次前往支持请求 > 提醒事件标签页。
- 点击查看更多。侧边抽屉式导航栏中会显示 Category File。
通过前缀进行验证
如需验证带有前缀的媒体资源元数据,请按以下步骤操作:
- 为多个字段(包括
VT_前缀)添加属性元数据,然后点击保存。 - 在支持请求概览或提醒概览标签页中,前往支持请求 > 实体突出显示 widget。
- 点击实体以打开实体详情页面。
使用场景
本部分介绍了演示系统在管理和显示支持请求中的事件方面的灵活性的使用情形。设置支持请求中活动的默认显示方式
在 Google SecOps 中,案例包含一部分提醒。这些提醒可提供对事件的访问权限,其中包括描述事件的特定字段。如需对此进行测试,请创建新的支持请求:- 依次选择支持请求 > 添加 > 模拟支持请求。
- 在您偏好的环境中创建新的检测到恶意软件支持请求。如果您没有其他情况,请使用默认环境。
- 在问题描述中,选择“发现病毒”提醒 Virus Found,然后选择事件标签页。系统会显示一个名为“发现病毒”的事件。
- 点击 Virus Found 事件,查看字段列表。
- 滚动以查找与活动日期相关的字段。
修改案例中事件的外观
您可以修改活动外观、重命名字段并对其进行分组。 如需修改活动的显示方式,您需要更新属性元数据。以下示例介绍了重新配置以下字段以显示西班牙语的步骤。- 打开新的浏览器标签页,然后依次点击 SOAR 设置 > 数据配置 > 属性元数据。
- 点击添加添加,然后根据下表重新定义显示名称字段值。
重新配置以下字段,使其以西班牙语显示:
date_hourdate_mdaydate_minutedate_monthdate_seconddate_wdaydate_yeardate_zone
从下列选项中选择一项:
- 显示:在活动说明中显示相应字段。
- 突出显示:将字段移至突出显示的字段的专用组。
| 系统名称 | 显示名称 | 群组名称 | 显示 | 高亮显示 |
|---|---|---|---|---|
date_hour |
Hora |
Fecha del evento |
是 | 是 |
date_mday |
Día del mes |
Fecha del evento |
是 | 否 |
date_minute |
Minuto |
Fecha del evento |
是 | 是 |
date_month |
Mes |
Fecha del evento |
是 | 否 |
date_second |
Segunda |
Fecha del evento |
否 | 否 |
date_wday |
Día de la semana |
Fecha del evento |
否 | 否 |
date_year |
Año |
Fecha del evento |
否 | 否 |
date_zone |
Zona horaria |
Fecha del evento |
是 | 否 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。