Questa pagina è stata tradotta dall'API Cloud Translation.

Definisci la visualizzazione degli avvisi predefinita

Supportato in:

Google secops SOAR

Questo documento descrive come un amministratore può definire la panoramica degli avvisi predefinita mostrata nella pagina Casi. Il sistema mostra questa visualizzazione predefinita in una delle seguenti due situazioni:

L'avviso non ha un playbook allegato.
L'avviso ha un playbook allegato con visualizzazioni personalizzate per ruolo, ma non esiste una visualizzazione specifica per il ruolo dell'utente. Per saperne di più sulle visualizzazioni degli avvisi personalizzate, consulta Definire visualizzazioni degli avvisi personalizzate da Progettazione playbook.

Per definire una visualizzazione predefinita, vai a Impostazioni SOAR > Dati dei casi > Visualizzazioni > Visualizzazione avvisi predefinita.

Definisci i widget nella visualizzazione degli avvisi predefinita

La pagina Visualizzazione avvisi predefinita mostra un elenco di widget generali e un insieme di widget predefiniti delle integrazioni delle risposte. Puoi personalizzare la visualizzazione trascinando i widget nel modello laterale. I widget predefiniti includono:

Modulo campi personalizzati: mostra i campi personalizzati che l'analista deve compilare con informazioni aggiuntive sull'avviso. Scopri come creare campi personalizzati.
Elementi salienti delle entità: mostra i campi evidenziati per ogni entità coinvolta nell'avviso. Esistono due modi per evidenziare un campo:

Nella pagina Esplora, scegli l'entità, seleziona un campo e fai clic su Aggiungi all'evidenziazione. Il campo dell'entità viene visualizzato nel widget.
Vai a Impostazioni SOAR > Configurazione dati > Metadati proprietà, seleziona un campo e contrassegnalo come evidenziato. Se il campo fa parte dell'entità, viene visualizzato nel widget.

Tabella eventi: mostra tutti gli eventi di avviso e le relative proprietà. Scegli fino a sei campi da visualizzare nella tabella. Fai clic sulle parentesi quadre accanto a ogni riga per riordinare le righe e personalizzare i segnaposto predefiniti. Puoi anche aggiungere più segnaposto in ogni riga. Nella visualizzazione effettiva, fai clic su una delle righe della tabella per aprire un riquadro laterale con informazioni dettagliate sull'evento.
HTML: ti consente di utilizzare il codice HTML per creare approfondimenti e inserire informazioni sugli avvisi pertinenti tramite segnaposto.

Nota:puoi scegliere di restituire il codice sicuro senza includere JavaScript potenzialmente dannoso. Quando utilizzi i preset Video o Layout 6 nel widget HTML, alcuni siti video (come YouTube e files.fm) non sono supportati. Utilizza Sendspark.
Testo libero: ti consente di aggiungere testo libero da visualizzare nell'avviso e nel playbook.
Coppia chiave-valore: ti consente di scegliere dettagli specifici da varie origini e visualizzarli nella visualizzazione. Ad esempio: Chiave – Valore prodotto – [Alert.Product].
Grafico delle entità: rappresenta visivamente la relazione tra le entità, in modo identico alla visualizzazione nella pagina Esplora.
Approfondimenti: contiene tutti gli approfondimenti delle azioni corrispondenti del playbook, gli approfondimenti generali e altri approfondimenti aggiunti, presentati in formato HTML.
Azioni in attesa: elenca tutte le azioni del playbook in attesa dell'input utente, consentendo all'analista di identificare le attività necessarie per mantenere in esecuzione il playbook.
Azioni rapide: visualizza i pulsanti di azione che consentono agli analisti di eseguire azioni predefinite direttamente dalla panoramica degli avvisi. Per maggiori informazioni, vedi Intervenire su una richiesta.
Rilevamenti compositi: disponibili solo per gli utenti della piattaforma unificata Google SecOps. Questo widget aiuta gli analisti a comprendere i componenti dell'avviso all'interno di una richiesta. Per gli avvisi compositi (generati da regole concatenate), il widget mostra gli avvisi di rilevamento che contribuiscono e gli eventi Unified Data Model (UDM). Per gli avvisi singoli non compositi, vengono visualizzati gli eventi UDM specifici associati all'avviso. Queste informazioni consentono agli analisti di esaminare la struttura dell'avviso e le sue cause principali.
Panoramica della regola: disponibile solo per gli utenti della piattaforma unificata Google SecOps. Questo widget fornisce informazioni sulla regola personalizzata o curata associata a un avviso, incluso un pulsante Visualizza dettagli che apre una barra laterale di riepilogo della regola con informazioni complete, tra cui i dettagli della regola (nome, descrizione, stato, gravità, tag MITRE) e il codice della regola YARA-L. Include anche un link intuitivo per gestire la regola nella [scheda Rilevamenti selezionati](/chronicle/docs/detection/use-curated-detections)

Aggiungi widget

Per aggiungere un widget alla visualizzazione degli avvisi predefinita:

Vai a Impostazioni SOAR > Dati caso > Viste > Viste avvisi predefinite.
Trascina un widget nel modello.
Puoi riorganizzare i widget in qualsiasi momento per ottenere la visualizzazione che preferisci.

Modificare i widget

Fai clic su Impostazioni Configurazione nel widget in fase di modifica.
Modifica il titolo, la descrizione (la descrizione comando) e la larghezza (50% o 100%).
Nota:alcuni widget offrono campi aggiuntivi da configurare. Ad esempio, nel widget Dettagli avviso puoi includere varie chiavi e valori per fornire maggiori informazioni sull'avviso.
Fai clic su Salva.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.