기본 알림 뷰 정의

이 문서에서는 관리자가 케이스 페이지에 표시되는 기본 알림 개요를 정의하는 방법을 설명합니다. 시스템은 다음 두 가지 상황 중 하나에서 이 기본 뷰를 표시합니다.

• 알림에 연결된 플레이북이 없습니다.
• 알림에 역할별로 맞춤설정된 뷰가 있는 플레이북이 첨부되어 있지만 사용자의 역할에 대한 특정 뷰는 없습니다. 맞춤설정된 알림 뷰에 대한 자세한 내용은 Playbook Designer에서 맞춤설정된 알림 뷰 정의를 참고하세요.

기본 뷰를 정의하려면 SOAR 설정 > 케이스 데이터 > 뷰 > 기본 알림 뷰로 이동합니다.

기본 알림 뷰에서 위젯 정의

기본 알림 보기 페이지에는 일반 위젯 목록과 응답 통합의 사전 정의된 위젯 세트가 표시됩니다. 위젯을 측면 템플릿으로 드래그하여 뷰를 맞춤설정할 수 있습니다. 기본 위젯에는 다음이 포함됩니다.

• 맞춤 필드 양식: 분석가가 알림에 관한 추가 정보를 입력할 수 있는 맞춤 필드를 표시합니다. 맞춤 입력란을 만드는 방법을 알아봅니다.
• 엔티티 하이라이트: 알림에 관련된 각 엔티티의 강조 표시된 필드를 표시합니다. 필드를 강조 표시하는 방법에는 두 가지가 있습니다.
• 탐색 페이지에서 항목을 선택하고 필드를 선택한 다음 강조 표시를 위해 추가를 클릭합니다. 항목 필드가 위젯에 표시됩니다.
• SOAR 설정 > 데이터 구성 > 속성 메타데이터로 이동하여 필드를 선택하고 강조 표시로 표시합니다. 필드가 엔티티의 일부인 경우 위젯에 표시됩니다.
• 이벤트 표: 모든 알림 이벤트와 속성을 표시합니다. 표에 표시할 필드를 최대 6개까지 선택합니다. 각 행 옆에 있는 괄호를 클릭하여 행을 재정렬하고 기본 자리표시자를 맞춤설정합니다. 각 행에 자리표시자를 여러 개 추가할 수도 있습니다. 실제 디스플레이에서 표 행을 클릭하여 자세한 이벤트 정보가 포함된 측면 탐색 메뉴를 엽니다.
• HTML: HTML 코드를 사용하여 유용한 정보를 만들고 자리표시자를 통해 관련 알림 정보를 삽입할 수 있습니다.
  
• 자유 텍스트: 알림 및 플레이북에 표시할 자유 텍스트를 추가할 수 있습니다.
• 키 값: 다양한 소스에서 특정 세부정보를 선택하여 뷰에 표시할 수 있습니다. 예: 키 – 제품 값 – [Alert.Product]
• 항목 그래프: 탐색 페이지에 표시되는 것과 동일하게 항목 간의 관계를 시각적으로 나타냅니다.
• 통계: 플레이북 통계 작업, 일반 통계, 기타 추가된 통계의 모든 통계를 HTML 형식으로 표시합니다.
• 보류 중인 작업: 사용자 입력이 보류 중인 모든 플레이북 작업을 나열하여 분석가가 플레이북을 계속 실행하는 데 필요한 작업을 식별할 수 있습니다.
• 빠른 작업: 분석가가 알림 개요에서 직접 사전 정의된 작업을 실행할 수 있는 작업 버튼을 표시합니다. 자세한 내용은 케이스에 대한 조치 취하기를 참고하세요.
• 복합 감지: SIEM과 SOAR을 모두 사용하는 Google SecOps 고객에게만 제공됩니다. 이 위젯은 분석가가 케이스 내의 알림 구성요소를 이해하는 데 도움이 됩니다. 복합 알림 (연결된 규칙에 의해 생성됨)의 경우 위젯에 기여 탐지 알림과 통합 데이터 모델 (UDM) 이벤트가 표시됩니다. 단일 비복합 알림의 경우 해당 알림과 연결된 특정 UDM 이벤트가 표시됩니다. 이 정보를 통해 분석가는 알림의 구조와 근본 원인을 검사할 수 있습니다.

위젯 추가

기본 알림 뷰에 위젯을 추가하려면 다음 단계를 따르세요.

1. SOAR 설정 > 케이스 데이터 > 뷰 > 기본 알림 뷰로 이동합니다.
2. 위젯을 템플릿으로 드래그합니다.
3. 언제든지 위젯을 재정렬하여 원하는 뷰를 만들 수 있습니다.

위젯 수정

1. 수정 중인 위젯에서 설정 구성을 클릭합니다.
2. 제목, 설명 (도움말), 너비(50% 또는 100%)를 수정합니다.
3. 저장을 클릭합니다.