Diese Seite wurde von der Cloud Translation API übersetzt.

Benutzerdefinierte Felder verwalten

Unterstützt in:

Google SecOps SOAR

In diesem Dokument wird beschrieben, wie Sie benutzerdefinierte Felder erstellen und verwalten und wie Sie sie für erweiterte Berichte verwenden. Mit benutzerdefinierten Feldern können Administratoren Vorgängen und Benachrichtigungen bestimmte Informationen hinzufügen. Sie können diese benutzerdefinierten Felder mit dem Widget Benutzerdefiniertes Felderformular organisieren, das die Standardansichten für Fälle und Benachrichtigungen definiert. Analysten können dann Informationen direkt in dieses Widget auf dem Tab Übersicht von Fällen und Benachrichtigungen eingeben, basierend auf dem konfigurierten Bereich des benutzerdefinierten Felds.

Benutzerdefiniertes Feld erstellen

Administratoren können bis zu 1.000 benutzerdefinierte Felder erstellen. Nachdem ein benutzerdefiniertes Feld gespeichert wurde, können Sie den Umfang, den Typ oder den Namen nicht mehr ändern. So erstellen Sie ein benutzerdefiniertes Feld:

Rufen Sie SOAR-Einstellungen > Falldaten > Benutzerdefinierte Felder auf.
Klicken Sie auf Hinzufügen Hinzufügen, um ein neues benutzerdefiniertes Feld zu erstellen.
Wählen Sie Bereich und dann Fall, Benachrichtigung oder Alle (beide) aus. Das Feld Umfang ist erforderlich und kann nach dem Erstellen des benutzerdefinierten Felds nicht mehr geändert werden.
Geben Sie einen benutzerdefinierten Namen für das Feld ein. Das Feld Name ist erforderlich und kann nach dem Erstellen des benutzerdefinierten Felds nicht mehr geändert werden.
Wählen Sie in der Liste einen benutzerdefinierten Feldtyp aus:
- Freitext: Geben Sie einen beliebigen Text mit bis zu 1.024 Zeichen ein.
- Optionsfeld: Bietet zwei anpassbare Optionen zur Auswahl.
- Einzelauswahl: Liste mit einer einzelnen Option zur Auswahl. Dieser Typ unterstützt maximal 1.024 Zeichen. Jeder Optionsname darf höchstens 255 Zeichen lang sein.
- Mehrfachauswahl: Liste mit mehreren Optionen zur Auswahl. Dieser Typ unterstützt maximal 1.024 Zeichen. Jeder Optionsname darf höchstens 255 Zeichen lang sein.
- Kalender: Ein Datums- und Uhrzeitfeld. Das Standardformat ist DD/MM/YYYY HH:MM:SS.
Klicken Sie auf Speichern.

Anwendungsfall: Benutzerdefinierte Felder zur Verbesserung des Phishing-Schutzes verwenden

In diesem Anwendungsbeispiel wird beschrieben, wie Sie drei benutzerdefinierte Felder definieren – ein Optionsfeld, eine Liste mit nur einer Auswahlmöglichkeit und einen Kalender – und wie Sie sie dem Widget Formular für benutzerdefinierte Felder hinzufügen. Diese Felder enthalten zusätzliche Informationen zu Phishing-Benachrichtigungen, die in der Standardansicht für Benachrichtigungen nicht verfügbar sind.

Benutzerdefiniertes Feld „Falsch positiv“ definieren

Wählen Sie unter Umfang die Option Benachrichtigung aus.
Geben Sie im Feld Name False Positive ein.
Wählen Sie in der Liste Typ die Option Optionsfeld aus.
Geben Sie im Feld Optionen True Positive ein (und drücken Sie dann die Eingabetaste) und geben Sie dann False Positive ein (und drücken Sie dann die Eingabetaste).
Klicken Sie auf Speichern.

Benutzerdefiniertes Feld „Nutzeraktion“ definieren

Klicken Sie auf Hinzufügen, um ein weiteres neues benutzerdefiniertes Feld zu erstellen.
Wählen Sie unter Umfang die Option Benachrichtigung aus.
Geben Sie im Feld Name den Wert User Action ein.
Wählen Sie in der Liste Typ die Option Einfachauswahl aus.
Geben Sie im Feld Optionen Clicked ein und drücken Sie die Eingabetaste. Geben Sie dann Reported ein und drücken Sie die Eingabetaste. Geben Sie schließlich Ignored ein und drücken Sie die Eingabetaste.
Klicken Sie auf Speichern.

Benutzerdefiniertes Feld „Berichtszeit“ definieren

Klicken Sie auf Hinzufügen, um ein weiteres neues benutzerdefiniertes Feld zu erstellen.
Wählen Sie unter Umfang die Option Benachrichtigung aus.
Geben Sie im Feld Name Report Time ein.
Wählen Sie in der Liste Typ die Option Kalender aus.
Klicken Sie auf Speichern.

Benutzerdefinierte Felder zum Widget auf Benachrichtigungsebene hinzufügen

Nachdem Sie benutzerdefinierte Felder definiert haben, fügen Sie sie dem Widget Formular für benutzerdefinierte Felder hinzu. Jedes Widget kann bis zu 50 benutzerdefinierte Felder enthalten. In den folgenden Schritten wird gezeigt, wie Sie dem Widget Benutzerdefiniertes Formular für Felder die drei benutzerdefinierten Felder hinzufügen, die Sie zuvor erstellt haben, um die Standardansicht für Benachrichtigungen zu erweitern.

Rufen Sie die SOAR-Einstellungen > Fall-Daten > Ansichten > Standardansicht für Benachrichtigungen auf. Die Standardansicht für Benachrichtigungen wird mit den verfügbaren Widgets geöffnet.
Ziehen Sie auf dem Tab Allgemein das Widget Benutzerdefiniertes Formularfeld in die Standardansicht für Benachrichtigungen.
Klicken Sie im Widget Benutzerdefiniertes Feldformular auf Einstellungen Konfiguration, um die Einstellungen zu öffnen.
Geben Sie im Feld Widget-Titel True or False Positive Alert ein.
Wählen Sie Benutzerdefinierte Felder verwalten aus.
Wählen Sie die Kästchen Falsch positiv, Nutzeraktion und Berichtszeit aus und klicken Sie dann auf Speichern. Das System fügt diese benutzerdefinierten Felder dem Widget Formular für benutzerdefinierte Felder hinzu.
Klicken Sie auf den Schalter Erforderlich.
Wählen Sie Speichern aus, um die Konfiguration zu speichern und das Fenster zu schließen.
Klicken Sie auf Ansicht speichern.

Widget „Formular für benutzerdefinierte Felder“ verwenden

Nachdem Sie dem Widget Benutzerdefiniertes Felderformular benutzerdefinierte Felder hinzugefügt haben, werden diese auf dem Tab Übersicht von Fällen und Benachrichtigungen angezeigt. Analysten können die erforderlichen Informationen dann direkt eingeben. Gehen Sie so vor, um das Widget zu verwenden:

Wählen Sie auf dem Tab Benachrichtigungsübersicht das Widget Benutzerdefinierte Felder aus und klicken Sie auf Bearbeiten.
Geben Sie die entsprechenden Informationen in die drei benutzerdefinierten Felder ein:
- Falsch positiv: Wählen Sie das Optionsfeld aus, um anzugeben, ob die Benachrichtigung ein true- oder false-positiver Befund ist.
- Nutzeraktion: Wählen Sie Geklickt, Gemeldet oder Ignoriert aus.
- Meldezeit: Wählen Sie das Datum aus, an dem die Benachrichtigung gemeldet wurde.
Klicken Sie auf Speichern.

Benutzerdefinierte Felder in Playbooks verwenden

Die benutzerdefinierten Felder, die Sie auf dieser Seite definieren, können Sie in Playbook-Aktionen und ‑Platzhaltern verwenden. Weitere Informationen zu Playbook-Aktionen finden Sie unter Siemplify in Google SecOps einbinden.

Platzhalter für benutzerdefinierte Felder

Benutzerdefinierte Felder sind in der Platzhalterkategorie Benutzerdefinierte Felder verfügbar. Verwenden Sie das folgende Format für diese Platzhalter:

\[AlertCustom.{custom field name}\]
\[CaseCustom.{custom field name}\]

Benutzerdefinierte Felder in erweiterten Berichten verwenden

Benutzerdefinierte Felder, die für Kundenservicetickets erstellt wurden, können in erweiterten Berichten verwendet werden, um detailliertere Informationen aus Ihren Daten zu erhalten.

Hinweis:Erweiterte Berichte unterstützen nur benutzerdefinierte Felder mit dem Bereich Fall.

Benutzerdefinierte Felder für Werte mit einfacher Auswahl in Looker erstellen

Wenn Sie in einem Looker-Bericht auf ein benutzerdefiniertes Feld mit Einfachauswahl (z. B. "Country") verweisen möchten, verwenden Sie die folgende LookML-Formel als berechnetes Feld:


    if(
      contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
      replace(
      replace(
      replace(
        if(position(
          replace(
            ${vw_cases_custom_values.custom_field_json},
            substring(
              ${vw_cases_custom_values.custom_field_json},
              0,
              ( position(
                ${vw_cases_custom_values.custom_field_json},
                "\"Country\":")
                +
                length("\"Country\":")
              )
            ),
            ""
          ),
          "\","
        )>0,

        substring(
          replace(
            ${vw_cases_custom_values.custom_field_json},
            substring(
              ${vw_cases_custom_values.custom_field_json},
              0,
              ( position(
                ${vw_cases_custom_values.custom_field_json},
                "\"Country\":")
                +
                length("\"Country\":")
              )
            ),
            ""
          ),
          0,
          position(
            replace(
              ${vw_cases_custom_values.custom_field_json},
              substring(
                ${vw_cases_custom_values.custom_field_json},
                0,
                ( position(
                  ${vw_cases_custom_values.custom_field_json},
                  "\"Country\":")
                  +
                  length("\"Country\":")
                )
              ),
              ""
            ),
            "\","
          )
        ),
        replace(
          ${vw_cases_custom_values.custom_field_json},
          substring(
            ${vw_cases_custom_values.custom_field_json},
            0,
            ( position(
              ${vw_cases_custom_values.custom_field_json},
              "\"Country\":")
              +
              length("\"Country\":")
            )
          ),
          ""
        )),
        " \"",
        ""
      ),
      "\"",
      ""
    ),
    "}",""),
    null
    )

Tipp:Wenn Sie diese Formel für ein anderes benutzerdefiniertes Feld mit Einfachauswahl verwenden möchten, ersetzen Sie alle Instanzen von "Country" durch den genauen Namen des benutzerdefinierten Felds.

Benutzerdefinierte Felder für Werte mit Mehrfachauswahl in Looker erstellen

Wenn Sie in einem Looker-Bericht auf ein benutzerdefiniertes Feld mit Mehrfachauswahl (z. B. "Department") verweisen möchten, verwenden Sie die folgende LookML-Formel als berechnetes Feld:


    if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),

    substring(

    replace(
    replace(

    substring(${vw_cases_custom_values.custom_field_json},
    position(
    ${vw_cases_custom_values.custom_field_json},
    "\"Department\""),length(${vw_cases_custom_values.custom_field_json}))


    ,"\", \"Department\":\"",","),

    "\"Department\":\"","")


    ,0, position(replace(
    replace(

    substring(${vw_cases_custom_values.custom_field_json},
    position(
    ${vw_cases_custom_values.custom_field_json},
    "\"Department\""),length(${vw_cases_custom_values.custom_field_json}))


    ,"\", \"Department\":\"",","),

    "\"Department\":\"",""),"\"")-1)

    , null)

Tipp:Wenn Sie diese Formel für ein anderes benutzerdefiniertes Feld mit Mehrfachauswahl verwenden möchten, ersetzen Sie alle Instanzen von "Department" durch den genauen Namen des benutzerdefinierten Felds.

Benutzerdefinierte Felder in Looker filtern

Welche Methode Sie zum Filtern benutzerdefinierter Felder in Looker verwenden, hängt davon ab, ob Sie mit einem Look oder einem Dashboard arbeiten.

Filtern in einem Look

Wenn Sie benutzerdefinierte Felder mit Einfach- und Mehrfachauswahl in einem Look filtern möchten, können Sie direkt das benutzerdefinierte Dimensionsfeld verwenden, das mit den vorherigen Formeln erstellt wurde.

Dashboards filtern

Wenn Sie benutzerdefinierte Felder in Dashboards filtern möchten, müssen Sie auf den zugrunde liegenden JSON-Wert aus Explore verweisen und die entsprechenden Werte im Filter verwenden:

Felder mit einfacher Auswahl: Wenn Sie beispielsweise nach Fällen filtern möchten, in denen das benutzerdefinierte Feld Land den Wert China hat, verwenden Sie die Filterbedingung %"Country": "China"%. Die genaue Syntax kann je nach Looker-Version leicht variieren.
Felder mit Mehrfachauswahl:Wenn Sie Felder mit Mehrfachauswahl mit Dashboards filtern möchten, verweisen Sie auf den JSON-Wert und verwenden Sie die entsprechende Syntax. Diese kann je nach Ihren Filteranforderungen variieren, z. B. ob alle oder nur einige der ausgewählten Werte übereinstimmen müssen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten