Cette page a été traduite par l'API Cloud Translation.

Définir la vue d'alerte par défaut

Compatible avec :

Google SecOps SOAR

Ce document explique comment un administrateur peut définir la vue d'ensemble des alertes par défaut affichée sur la page Requêtes. Le système affiche cette vue par défaut dans l'une des deux situations suivantes :

Aucun playbook n'est associé à l'alerte.
L'alerte est associée à un playbook avec des vues personnalisées par rôle, mais aucune vue spécifique n'existe pour le rôle de l'utilisateur. Pour en savoir plus sur les vues d'alerte personnalisées, consultez Définir des vues d'alerte personnalisées à partir du concepteur de playbooks.

Pour définir une vue par défaut, accédez à Paramètres SOAR> Données sur les demandes> Vues> Vue par défaut des alertes.

Définir des widgets dans la vue d'alerte par défaut

La page Vue d'alerte par défaut affiche une liste de widgets généraux et un ensemble de widgets prédéfinis à partir des intégrations de réponse. Vous pouvez personnaliser la vue en faisant glisser les widgets dans le modèle latéral. Les widgets par défaut incluent les suivants :

Formulaire de champs personnalisés : affiche les champs personnalisés que l'analyste doit remplir avec des informations supplémentaires sur l'alerte. Découvrez comment créer des champs personnalisés.
Points forts des entités : affiche les champs mis en avant pour chaque entité impliquée dans l'alerte. Il existe deux façons de mettre en évidence un champ :

Sur la page Explorer, sélectionnez l'entité et un champ, puis cliquez sur Ajouter à la mise en surbrillance. Le champ d'entité s'affiche dans le widget.
Accédez à Paramètres SOAR > Configuration des données > Métadonnées des propriétés, sélectionnez un champ et marquez-le comme mis en surbrillance. Si le champ fait partie de l'entité, il apparaît dans le widget.

Tableau des événements : affiche tous les événements d'alerte et leurs propriétés. Choisissez jusqu'à six champs à afficher dans le tableau. Cliquez sur les crochets à côté de chaque ligne pour les réorganiser et personnaliser les espaces réservés par défaut. Vous pouvez également ajouter plusieurs espaces réservés dans chaque ligne. Dans l'affichage réel, cliquez sur l'une des lignes du tableau pour ouvrir un tiroir latéral contenant des informations détaillées sur l'événement.
HTML : vous permet d'utiliser du code HTML pour créer des insights et insérer des informations d'alerte pertinentes à l'aide d'espaces réservés.

Remarque : Vous pouvez choisir de renvoyer du code sécurisé sans inclure de code JavaScript potentiellement dangereux. Lorsque vous utilisez les préréglages Vidéo ou Mise en page 6 dans le widget HTML, certains sites vidéo (comme YouTube et files.fm) ne sont pas compatibles. Utilisez Sendspark à la place.
Texte libre : vous permet d'ajouter du texte libre à afficher dans l'alerte et le playbook.
Clé-valeur : vous permet de choisir des détails spécifiques provenant de différentes sources et de les afficher dans la vue. Par exemple : Clé : valeur du produit – [Alert.Product].
Graphique des entités : représente visuellement la relation entre les entités, de la même manière que sur la page Explorer.
Insights : contient tous les insights liés aux actions du playbook, des insights généraux et d'autres insights ajoutés, présentés au format HTML.
Actions en attente : liste toutes les actions du playbook en attente d'une entrée utilisateur, ce qui permet à l'analyste d'identifier les tâches requises pour que le playbook continue de s'exécuter.
Actions rapides : affiche des boutons d'action qui permettent aux analystes d'exécuter des actions prédéfinies directement depuis l'aperçu des alertes. Pour en savoir plus, consultez Effectuer des actions sur une demande.
Détections composites : disponibles uniquement pour les clients Google SecOps qui utilisent à la fois SIEM et SOAR. Ce widget aide les analystes à comprendre les composants d'une alerte dans un cas. Pour les alertes composites (générées par des règles en chaîne), le widget affiche les alertes de détection associées et les événements UDM (Unified Data Model). Pour les alertes uniques et non composites, il affiche les événements UDM spécifiques associés à cette alerte. Ces informations permettent aux analystes d'examiner la structure de l'alerte et ses causes premières.

Ajouter des widgets

Pour ajouter un widget à la vue d'alerte par défaut, procédez comme suit :

Accédez à Paramètres SOAR> Données sur les demandes> Vues> Vue par défaut des alertes.
Faites glisser un widget dans le modèle.
Vous pouvez réorganiser les widgets à tout moment pour obtenir la vue souhaitée.

Modifier les widgets

Cliquez sur settings Configuration dans le widget en cours de modification.
Modifiez le titre, la description (l'info-bulle) et la largeur (50 % ou 100 %).
Remarque : Certains widgets proposent des champs de configuration supplémentaires. Par exemple, dans le widget Détails de l'alerte, vous pouvez inclure différentes clés et valeurs pour fournir plus d'informations sur l'alerte.
Cliquez sur Enregistrer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.