Standardansicht für Benachrichtigungen festlegen

In diesem Dokument wird beschrieben, wie ein Administrator die Standardübersicht für Benachrichtigungen definiert, die auf der Seite Fälle angezeigt wird. Das System zeigt diese Standardansicht in einer der folgenden beiden Situationen an:

• Der Benachrichtigung ist kein Playbook angehängt.
• Dem Hinweis ist ein Playbook mit benutzerdefinierten Ansichten pro Rolle angehängt, aber es gibt keine spezifische Ansicht für die Rolle des Nutzers. Weitere Informationen zu benutzerdefinierten Benachrichtigungsansichten finden Sie unter Benutzerdefinierte Benachrichtigungsansichten im Playbook-Designer definieren.

Wenn Sie eine Standardansicht definieren möchten, rufen Sie SOAR-Einstellungen > Falldaten > Ansichten > Standardansicht für Benachrichtigungen auf.

Widgets in der Standardansicht für Benachrichtigungen definieren

Auf der Seite Standardansicht für Benachrichtigungen wird eine Liste mit allgemeinen Widgets und eine Reihe vordefinierter Widgets aus den Antwortintegrationen angezeigt. Sie können die Ansicht anpassen, indem Sie die Widgets in die Seitenleistenvorlage ziehen. Zu den Standard-Widgets gehören:

• Formular für benutzerdefinierte Felder: Hier werden benutzerdefinierte Felder angezeigt, die der Analyst mit zusätzlichen Informationen zur Benachrichtigung ausfüllen kann. Benutzerdefinierte Felder erstellen
• Entitätshighlights: Hier werden die hervorgehobenen Felder für jede Entität angezeigt, die am Alert beteiligt ist. Es gibt zwei Möglichkeiten, ein Feld hervorzuheben:
• Wählen Sie auf der Seite Entdecken die Einheit und ein Feld aus und klicken Sie auf Hervorhebung hinzufügen. Das Entitätsfeld wird im Widget angezeigt.
• Rufen Sie SOAR-Einstellungen > Datenkonfiguration > Eigenschaften-Metadaten auf, wählen Sie ein Feld aus und markieren Sie es als hervorgehoben. Wenn das Feld Teil der Entität ist, wird es im Widget angezeigt.
• Ereignistabelle: Hier werden alle Ereignisse zu Benachrichtigungen und die zugehörigen Eigenschaften angezeigt. Wählen Sie bis zu sechs Felder aus, die in der Tabelle angezeigt werden sollen. Klicken Sie neben jeder Zeile auf die Klammern, um die Zeilen neu anzuordnen und Standardplatzhalter anzupassen. Sie können jeder Zeile auch mehrere Platzhalter hinzufügen. Klicken Sie in der tatsächlichen Anzeige auf eine der Tabellenzeilen, um eine Seitenleiste mit detaillierten Ereignisinformationen zu öffnen.
• HTML: Mit dieser Option können Sie HTML-Code verwenden, um Statistiken zu erstellen und relevante Benachrichtigungsinformationen über Platzhalter einzufügen.
  
• Freitext: Sie können Freitext hinzufügen, der in der Benachrichtigung und im Playbook angezeigt wird.
• Schlüsselwert: Hier können Sie bestimmte Details aus verschiedenen Quellen auswählen und in der Ansicht anzeigen lassen. Beispiel: Schlüssel – Produktwert – [Alert.Product].
• Entities Graph (Entitätendiagramm): Stellt die Beziehung zwischen den Entitäten visuell dar, identisch mit der Darstellung auf der Seite Explore (Erkunden).
• Statistiken: Enthält alle Statistiken aus den Playbook Insights-Aktionen, allgemeine Statistiken und andere hinzugefügte Statistiken im HTML-Format.
• Ausstehende Aktionen: Hier werden alle Playbook-Aktionen aufgeführt, die auf eine Nutzereingabe warten. So kann der Analyst Aufgaben identifizieren, die erforderlich sind, damit das Playbook weiter ausgeführt wird.
• Schnellaktionen: Hier werden Aktionsschaltflächen angezeigt, über die Analysten vordefinierte Aktionen direkt in der Benachrichtigungsübersicht ausführen können. Weitere Informationen finden Sie unter Maßnahmen für einen Fall ergreifen.
• Zusammengesetzte Erkennungen: Nur für Nutzer der einheitlichen Google SecOps-Plattform verfügbar. Mit diesem Widget können Analysten die Benachrichtigungskomponenten in einem Fall besser nachvollziehen. Bei zusammengesetzten Benachrichtigungen (die von verketteten Regeln generiert werden) werden im Widget die zugehörigen Erkennungsbenachrichtigungen und UDM-Ereignisse (Unified Data Model) angezeigt. Bei einzelnen, nicht zusammengesetzten Benachrichtigungen werden die spezifischen UDM-Ereignisse angezeigt, die mit dieser Benachrichtigung verknüpft sind. Anhand dieser Informationen können Analysten die Struktur der Benachrichtigung und die zugrunde liegenden Fälle untersuchen.
• Regelübersicht: Nur für Nutzer der einheitlichen Google SecOps-Plattform verfügbar. Dieses Widget enthält Informationen zur kuratierten oder benutzerdefinierten Regel, die mit einer Benachrichtigung verknüpft ist, einschließlich der Schaltfläche Details ansehen, mit der eine Seitenleiste mit einer Regelübersicht geöffnet wird. Diese enthält umfassende Regelinformationen, einschließlich Regeldetails (Name, Beschreibung, Status, Schweregrad, MITRE-Tags) und YARA-L-Regelcode. Außerdem enthält sie einen benutzerfreundlichen Link zum Verwalten der Regel auf dem Tab [Ausgewählte Erkennungen](/chronicle/docs/detection/use-curated-detections).

Widgets hinzufügen

So fügen Sie der Standardansicht für Benachrichtigungen ein Widget hinzu:

1. Gehen Sie zu SOAR-Einstellungen > Falldaten > Ansichten > Standardansicht für Benachrichtigungen.
2. Ziehen Sie ein Widget in die Vorlage.
3. Sie können die Widgets jederzeit neu anordnen, um die gewünschte Ansicht zu erhalten.

Widgets bearbeiten

1. Klicken Sie im zu bearbeitenden Widget auf die Einstellungen Konfiguration.
2. Bearbeiten Sie den Titel, die Beschreibung (die Kurzinfo) und die Breite (50% oder 100%).
3. Klicken Sie auf Speichern.