Tab „Benachrichtigungsübersicht“

Dieses Dokument dient als Referenz für den Tab Alert Overview (Benachrichtigungsübersicht), die zentrale Oberfläche für die Priorisierung von Benachrichtigungen in einem Fall. Wenn Sie in einem Fall eine Benachrichtigung auswählen, wird der Tab Benachrichtigungsübersicht angezeigt. Wenn der Fall nur eine Benachrichtigung enthält, werden Sie direkt zu diesem Tab weitergeleitet.

Widgets für die Benachrichtigungsübersicht

Auf dem Tab Benachrichtigungsübersicht werden wichtige Informationen zur Benachrichtigung in bestimmten Widgets angezeigt. Die angezeigten Informationen variieren je nach Benachrichtigungstyp. Sie können Aktionen direkt über diesen Tab ausführen.

Tab-Widgets ansehen

Die Ansicht für Benachrichtigungen kann je nach konfigurierter Ansicht die folgenden Widgets enthalten:

• Benachrichtigungstabelle: Hier sehen Sie eine Zusammenfassung der Fallbenachrichtigungen. Klicken Sie auf Details ansehen, um weitere Informationen aufzurufen. Wenn Sie Google Security Operations-Kunde sind, klicken Sie auf Erkunden, um zur Seite Asset weitergeleitet zu werden, auf der Sie weitere Aktionen ausführen können. Weitere Informationen finden Sie unter Untersuchungsansichten. 
• Formular für benutzerdefinierte Felder: Geben Sie die relevanten Informationen in die hier definierten benutzerdefinierten Felder ein. Klicken Sie auf editBearbeiten, um das Formular zu öffnen.
• Ausstehende Aktionen: Hier sehen Sie alle Aktionen, für die Ihre Eingabe erforderlich ist, damit das Playbook ausgeführt werden kann.
• Schnellaktionen: Mit diesem Widget können Sie vordefinierte Aktionen direkt über den Tab „Benachrichtigungsübersicht“ schnell ausführen.
• JSON-Ergebnisse: Hier können Sie ein JSON-Ergebnis im System ansehen.
• Entitätshighlights: Hier sehen Sie die mit der Benachrichtigung verknüpften Entitäten.
• Wenn Sie Google SecOps-Kunde sind, klicken Sie auf Untersuchen, um zur Seite Asset der Benachrichtigung weitergeleitet zu werden, auf der Sie weitere Aktionen ausführen können. Die Seite, auf der Sie landen, hängt vom Typ der Entität ab. Weitere Informationen finden Sie unter Untersuchungsansichten.
• Wenn Sie detailliertere Informationen benötigen, bevor Sie Maßnahmen ergreifen, klicken Sie auf die Entität, um die Seite Entity Explorer aufzurufen und alle Details zu sehen.
• Wenn Sie sich vor einer Aktion einen schnellen Überblick verschaffen möchten, klicken Sie auf Details ansehen. Daraufhin wird eine Seitenleiste mit den wichtigsten Informationen zur Entität geöffnet.
• Wenn Sie eine bestimmte Aktion für eine Einheit ausführen möchten, können Sie auf Einstellungen Manuelle Maßnahme klicken und eine manuelle Maßnahme erstellen.

• Ereignistabelle: Hier sehen Sie alle Ereignisse zu Benachrichtigungen und die zugehörigen Eigenschaften. Klicken Sie auf eine der Tabellenzeilen, um eine Seitenleiste mit Ereignisdetails zu öffnen.
• HTML: Hier sehen Sie den HTML-Code, der relevante Informationen aus den Playbook-Ergebnissen enthält.
• Freier Text: Hier können Sie vom Administrator definierte Informationen ansehen.
• Schlüsselwert: Bestimmte Details aus verschiedenen Quellen ansehen und anzeigen lassen, z. B.

  Key-Product Value- [Alert.Product]

• Entitätsdiagramm: Hier können Sie ein visuelles Diagramm und andere Details der Fallentität ansehen. Klicken Sie auf eine Einheit. Daraufhin wird eine Seitenleiste geöffnet.
• Zusammengesetzte Erkennungen: Nur für Google SecOps-Kunden verfügbar, die sowohl SIEM als auch SOAR verwenden. Mit diesem Widget können Sie die Komponenten von Benachrichtigungen in einem Fall besser nachvollziehen. Bei zusammengesetzten Benachrichtigungen (die von verketteten Regeln generiert werden) werden im Widget die zugehörigen Erkennungen und Benachrichtigungen sowie die detaillierten UDM-Ereignisse (Unified Data Model) angezeigt. Bei einzelnen, nicht zusammengesetzten Benachrichtigungen werden die spezifischen UDM-Ereignisse angezeigt, die mit dieser Benachrichtigung verknüpft sind. So können Sie die Struktur einer Benachrichtigung und ihre Ursachen untersuchen.

Die Anzeige auf dem Tab Übersicht über Benachrichtigungen hängt von verschiedenen Faktoren ab:

• Wenn dem Alert kein Playbook angehängt ist, wird die Standardanzeige vom Administrator in den SOAR-Einstellungen definiert. Weitere Informationen finden Sie unter Standardansicht für Benachrichtigungen definieren.
• Wenn ein Playbook vorhanden ist, die benutzerdefinierten Ansichten jedoch nicht Ihre Rolle enthalten, wird die Standardanzeige eingeblendet.
• Wenn das angehängte Playbook eine bestimmte Ansicht für Ihre Rolle enthält, wird die benutzerdefinierte Ansicht angezeigt. Weitere Informationen finden Sie unter Benutzerdefinierte Benachrichtigungsansichten im Playbook Designer definieren.