Administrar campos personalizados
En este documento, se describe cómo crear y administrar campos personalizados, y cómo usarlos para generar informes avanzados. Los campos personalizados permiten que los administradores agreguen información específica a los casos y las alertas. Puedes organizar estos campos personalizados con un widget de Formulario de campos personalizados, que define las vistas predeterminadas para los casos y las alertas. Luego, los analistas pueden ingresar información directamente en este widget desde la pestaña Descripción general de los casos y las alertas, según el alcance configurado del campo personalizado.
Crea un campo personalizado
Los administradores pueden crear hasta 1,000 campos personalizados. Una vez que se guarda un campo personalizado, no se pueden modificar su alcance, tipo ni nombre. Para crear un campo personalizado, haz lo siguiente:
- Ve a Configuración de SOAR > Datos del caso > Campos personalizados.
- Haz clic en Agregar Agregar para crear un campo personalizado nuevo.
- Selecciona Alcance y, luego, Caso, Alerta o Todo (ambos). El campo Permiso es obligatorio y no se puede cambiar una vez que se crea el campo personalizado.
- Ingresa un Nombre para el campo personalizado. El campo Nombre es obligatorio y no se puede cambiar después de crear el campo personalizado.
En la lista, selecciona un Tipo de campo personalizado:
- Texto libre: Ingresa cualquier texto, hasta 1,024 caracteres.
- Botón de selección: Proporciona dos opciones personalizables para la selección.
- Selección única: Lista con una sola opción para seleccionar. Este tipo admite un máximo de 1,024 caracteres, y cada nombre de opción se limita a 255 caracteres.
- Selección múltiple: Lista con varias opciones para seleccionar. Este tipo admite un máximo de 1,024 caracteres, y cada nombre de opción se limita a 255 caracteres.
- Calendario: Es un campo de fecha y hora. El formato predeterminado es
DD/MM/YYYY HH:MM:SS.
Haz clic en Guardar.
Caso de uso: Usa campos personalizados para mejorar la resistencia al phishing
En este caso de uso, se describen los pasos para definir tres campos personalizados: un botón de opción, una lista de selección única y un calendario, y cómo agregarlos al widget Custom Field Form. Estos campos enriquecen la vista de alerta predeterminada con información adicional para las alertas de phishing.
Define el campo personalizado Falso positivo
- En Permiso, selecciona Alert.
- En el campo Nombre, ingresa
False Positive. - En la lista Type, selecciona Radio Button.
- En el campo Opciones, ingresa
True Positive(luego, presiona Intro) y, luego, ingresaFalse Positive(luego, presiona Intro). - Haz clic en Guardar.
Cómo definir el campo personalizado Acción del usuario
- Haz clic en Agregar para crear otro campo personalizado nuevo.
- En Permiso, selecciona Alert.
- En el campo Nombre, ingresa Acción del usuario.
- En la lista Type, selecciona Single Select.
- En el campo Opciones, ingresa
Clicked(luego, presiona Intro),Reported(luego, presiona Intro) y, luego,Ignored(luego, presiona Intro). - Haz clic en Guardar.
Define el campo personalizado Hora del informe
- Haz clic en Agregar para crear otro campo personalizado nuevo.
- En Permiso, selecciona Alert.
- En el campo Nombre, ingresa
Report Time. - En la lista Type, selecciona Calendar.
- Haz clic en Guardar.
Agrega campos personalizados al widget a nivel de la alerta
Después de definir los campos personalizados, agrégalos al widget Formulario de campos personalizados. Cada widget puede contener hasta 50 campos personalizados. En los siguientes pasos, se muestra cómo agregar los tres campos personalizados que creaste anteriormente al widget Custom Fields Form para enriquecer la vista de alerta predeterminada.
- Ve a Configuración de SOAR > Datos del caso > Vistas > Vista de alerta predeterminada. Se abrirá la vista de alerta predeterminada con los widgets disponibles.
- En la pestaña General, arrastra el widget Custom Fields Form a la Vista de alerta predeterminada.
- En el widget Formulario de campos personalizados, haz clic en Configuración Configuración para abrir su configuración.
- En el campo Título del widget, ingresa
True or False Positive Alert. - Selecciona Administrar campos personalizados.
- Selecciona las casillas de verificación Falso positivo, Acción del usuario y Hora del informe y, luego, haz clic en Guardar. El sistema agrega estos campos personalizados al widget Formulario de campos personalizados.
- Haz clic en el botón de activación Obligatorio.
- Selecciona Guardar para guardar la configuración y cerrar la ventana.
- Haz clic en Guardar vista.
Cómo usar el widget del formulario de campos personalizados
Después de agregar campos personalizados al widget del formulario de campos personalizados, este aparecerá en la pestaña Descripción general de los casos y las alertas. Luego, los analistas pueden ingresar la información requerida directamente. Basándote en el ejemplo anterior, sigue estos pasos para usar el widget:
- En la pestaña Resumen de alertas, selecciona el widget Campos personalizados y haz clic en Editar.
- Completa la información pertinente para los tres campos personalizados:
- Falso positivo: Selecciona el botón de selección para indicar si la alerta es un positivo de
trueofalse. - Acción del usuario: Selecciona Hizo clic, Denunció o Ignoró.
- Fecha del informe: Selecciona la fecha en que se informó la alerta.
- Falso positivo: Selecciona el botón de selección para indicar si la alerta es un positivo de
- Haz clic en Guardar.
Usa campos personalizados en los playbooks
Puedes usar los campos personalizados que definas en esta página como parte de las acciones y los marcadores de posición de las guías. Para obtener más información sobre las acciones de los playbooks, consulta Integra Siemplify con Google SecOps.
Marcadores de posición para campos personalizados
Los campos personalizados están disponibles en la categoría de marcador de posición Campos personalizados. Usa el siguiente formato para estos marcadores de posición:
\[AlertCustom.{custom field name}\]\[CaseCustom.{custom field name}\]
Cómo usar campos personalizados en informes avanzados
Los campos personalizados creados para los casos se pueden usar en informes avanzados para obtener estadísticas más detalladas a partir de tus datos.
Nota: Los informes avanzados solo admiten campos personalizados que tienen un alcance de Caso.
Crea campos personalizados para valores de selección única en Looker
Para hacer referencia a un campo personalizado de selección única (por ejemplo, "Country") en un informe de Looker, usa la siguiente fórmula de LookML como un campo calculado:
if(
contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
replace(
replace(
replace(
if(position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)>0,
substring(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
0,
position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)
),
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
)),
" \"",
""
),
"\"",
""
),
"}",""),
null
)
Crea campos personalizados para valores de selección múltiple en Looker
Para hacer referencia a un campo personalizado de selección múltiple (por ejemplo, "Department") en un informe de Looker, usa la siguiente fórmula de LookML como campo calculado:
if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),
substring(
replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"","")
,0, position(replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"",""),"\"")-1)
, null)
Cómo filtrar campos personalizados en Looker
Para filtrar de manera eficaz los campos personalizados en Looker, el método que uses dependerá de si trabajas con un Look o un panel.
Filtrado en un Look
Para filtrar campos personalizados de selección única y múltiple en un Look, puedes usar directamente el campo de dimensión personalizada creado con las fórmulas anteriores.
Filtrado en paneles
Para filtrar campos personalizados en los paneles, debes hacer referencia al valor JSON subyacente de Explorar y usar los valores adecuados en el filtro, de la siguiente manera:
- Campos de selección única: Por ejemplo, para filtrar los casos en los que el campo personalizado País es
China, usa la condición de filtro:%"Country": "China"%(en la que la sintaxis exacta puede variar ligeramente según la versión de Looker). - Campos de selección múltiple: Para filtrar campos de selección múltiple con paneles, haz referencia al valor JSON y usa la sintaxis adecuada, que puede variar según tus necesidades de filtrado (por ejemplo, coincidir con cualquiera o todos los valores seleccionados).
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.