Esta página se ha traducido con Cloud Translation API.

Definir la vista de alerta predeterminada

Disponible en:

SecOps de Google SOAR

En este documento se describe cómo puede definir un administrador el resumen de alertas predeterminado que se muestra en la página Casos. El sistema muestra esta vista predeterminada en una de las dos situaciones siguientes:

La alerta no tiene ninguna guía adjunta.
La alerta tiene un manual adjunto con vistas personalizadas por rol, pero no hay ninguna vista específica para el rol del usuario. Para obtener más información sobre las vistas de alertas personalizadas, consulte Definir vistas de alertas personalizadas desde el diseñador de guías.

Para definir una vista predeterminada, vaya a Configuración de SOAR > Datos de caso > Vistas > Vista de alertas predeterminada.

Definir widgets en la vista de alerta predeterminada

En la página Vista de alertas predeterminada se muestra una lista de widgets generales y un conjunto de widgets predefinidos de las integraciones de respuestas. Puedes personalizar la vista arrastrando los widgets a la plantilla lateral. Los widgets predeterminados son los siguientes:

Formulario de campos personalizados: muestra los campos personalizados que el analista debe rellenar con información adicional sobre la alerta. Consulta cómo crear campos personalizados.
Aspectos destacados de las entidades: muestra los campos destacados de cada entidad implicada en la alerta. Hay dos formas de destacar un campo:

En la página Explorar, elija la entidad, seleccione un campo y haga clic en Añadir a destacado. El campo de entidad se muestra en el widget.
Ve a Configuración de SOAR > Configuración de datos > Metadatos de propiedades, selecciona un campo y márcalo como destacado. Si el campo forma parte de la entidad, aparecerá en el widget.

Tabla de eventos: muestra todos los eventos de alertas y sus propiedades. Elige hasta seis campos que se mostrarán en la tabla. Haz clic en los corchetes que hay junto a cada fila para reordenarlas y personalizar los marcadores de posición predeterminados. También puedes añadir varios marcadores de posición en cada fila. En la pantalla, haga clic en cualquiera de las filas de la tabla para abrir un panel lateral con información detallada sobre el evento.
HTML: te permite usar código HTML para crear estadísticas e insertar información de alertas relevante mediante marcadores de posición.

Nota: Puedes devolver código seguro sin incluir JavaScript potencialmente dañino. Cuando se usan los preajustes Vídeo o Diseño 6 en el widget HTML, no se admiten algunos sitios de vídeo (como YouTube y files.fm). Usa Sendspark en su lugar.
Texto libre: te permite añadir texto libre para que se muestre en la alerta y en el manual de procedimientos.
Par clave-valor: te permite elegir detalles específicos de varias fuentes y mostrarlos en la vista. Por ejemplo: Clave – Valor del producto – [Alert.Product].
Gráfico de entidades: representa visualmente la relación entre las entidades, de forma idéntica a la que se muestra en la página Explorar.
Estadísticas: contiene todas las estadísticas de las acciones de la guía, estadísticas generales y otras estadísticas añadidas, presentadas en formato HTML.
Acciones pendientes: muestra todas las acciones de la guía que requieren la entrada del usuario, lo que permite al analista identificar las tareas necesarias para que la guía siga funcionando.
Acciones rápidas: muestra botones de acción que permiten a los analistas ejecutar acciones predefinidas directamente desde la vista general de la alerta. Para obtener más información, consulta el artículo Tomar medidas en un caso.
Detecciones compuestas: solo están disponibles para los clientes de Google SecOps que usan tanto SIEM como SOAR. Este widget ayuda a los analistas a comprender los componentes de las alertas de un caso. En el caso de las alertas compuestas (generadas por reglas en cadena), el widget muestra las alertas de detección y los eventos del modelo de datos unificado (UDM). En el caso de las alertas únicas no compuestas, se muestran los eventos de UDM específicos asociados a esa alerta. Esta información permite a los analistas examinar la estructura de la alerta y sus causas raíz.

Añadir widgets

Para añadir un widget a la vista de alertas predeterminada, sigue estos pasos:

Ve a Configuración de SOAR > Datos del caso > Vistas > Vista de alertas predeterminada.
Arrastra un widget a la plantilla.
Puedes reorganizar los widgets en cualquier momento para conseguir la vista que quieras.

Editar widgets

En el widget que estés editando, haz clic en Configuración Configuración.
Edita el título, la descripción (la descripción emergente) y la anchura (50% o 100%).
Nota: Algunos widgets ofrecen campos adicionales que se pueden configurar. Por ejemplo, en el widget Detalles de la alerta, puedes incluir varias claves y valores para proporcionar más información sobre la alerta.
Haz clic en Guardar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.