定義預設快訊檢視畫面

本文說明管理員如何定義「案件」頁面顯示的預設快訊總覽。系統會在下列兩種情況中顯示這個預設檢視畫面：

• 警告未附加應對手冊。
• 這項快訊隨附的劇本會根據角色提供自訂檢視畫面，但沒有適合使用者角色的特定檢視畫面。如要進一步瞭解自訂快訊檢視畫面，請參閱「透過應對手冊設計工具定義自訂快訊檢視畫面」。

如要定義預設檢視畫面，請依序前往「SOAR 設定」>「案件資料」>「檢視畫面」>「預設快訊檢視畫面」。

在預設快訊檢視畫面中定義小工具

「Default Alert View」(預設快訊檢視畫面) 頁面會顯示一般小工具清單，以及來自回應整合的預先定義小工具集。您可以將小工具拖曳到側邊範本，自訂檢視畫面。預設小工具包括：

• 自訂欄位表單：顯示自訂欄位，供分析人員填寫警告的其他資訊。瞭解如何建立自訂欄位。
• 實體重點：顯示警報中涉及的各實體醒目顯示欄位。醒目顯示欄位的方式有兩種：
• 在「探索」頁面中，選擇實體、選取欄位，然後按一下「新增至醒目顯示」。實體欄位會顯示在小工具中。
• 依序前往「SOAR Settings」>「Data Configuration」>「Properties Metadata」，選取欄位並標示為醒目顯示。如果該欄位是實體的一部分，就會顯示在小工具中。
• 事件表格：顯示所有警告事件及其屬性。選擇要在表格中顯示的欄位 (最多 6 個)。按一下每列旁邊的方括號，即可重新排序資料列及自訂預設預留位置。您也可以在每一列中新增多個預留位置。在實際顯示畫面中，按一下任一表格列，即可開啟側邊抽屜，查看詳細的事件資訊。
• HTML：可使用 HTML 程式碼建立洞察資料，並透過預留位置插入相關快訊資訊。
  
• 任意文字：可讓您新增任意文字，顯示在快訊和劇本中。
• 鍵值：可從各種來源選擇特定詳細資料，並顯示在檢視畫面中。例如：鍵 - 產品值 - [Alert.Product]。
• 實體圖表：以視覺化方式呈現實體之間的關係，與「探索」頁面顯示的內容相同。
• 深入分析：包含應對手冊深入分析動作產生的所有深入分析結果、一般深入分析結果，以及其他新增的深入分析結果，並以 HTML 格式呈現。
• 待處理動作：列出所有待處理的應對手冊動作，讓分析師找出應執行哪些工作，才能繼續執行應對手冊。
• 快速操作：顯示動作按鈕，讓分析師直接從快訊總覽執行預先定義的動作。詳情請參閱「對案件採取行動」。
• 複合偵測項目：僅適用於同時使用 SIEM 和 SOAR 的 Google SecOps 客戶。這項小工具可協助分析師瞭解案件中的快訊元件。如果是複合式警示 (由鏈結規則產生)，小工具會顯示相關的偵測警示和統合式資料模型 (UDM) 事件。如果是單一非複合式快訊，則會顯示與該快訊相關聯的特定 UDM 事件。這項資訊可供分析師檢查警示的結構和根本原因。

新增小工具

如要將小工具新增至預設快訊檢視畫面，請按照下列步驟操作：

1. 依序前往「SOAR 設定」>「案件資料」>「檢視畫面」>「預設快訊檢視畫面」
2. 將小工具拖曳到範本中。
3. 隨時可以重新排列小工具，打造個人專屬的檢視畫面。

編輯小工具

1. 在要編輯的小工具中，按一下「設定」 「設定」。
2. 編輯標題、說明 (工具提示) 和寬度 (50% 或 100%)。
3. 按一下 [儲存]。