Gérer les champs personnalisés
Ce document explique comment créer et gérer des champs personnalisés, et comment les utiliser pour le reporting avancé. Les champs personnalisés permettent aux administrateurs d'ajouter des informations spécifiques aux cas et aux alertes. Vous pouvez organiser ces champs personnalisés à l'aide d'un widget Formulaire de champs personnalisés, qui définit les vues par défaut pour les demandes et les alertes. Les analystes peuvent ensuite saisir des informations directement dans ce widget depuis l'onglet Vue d'ensemble des requêtes et des alertes, en fonction du champ d'application configuré pour le champ personnalisé.
Créer un champ personnalisé
Les administrateurs peuvent créer jusqu'à 1 000 champs personnalisés. Une fois qu'un champ personnalisé est enregistré, vous ne pouvez plus modifier sa portée, son type ni son nom. Pour créer un champ personnalisé :
- Accédez à Paramètres SOAR > Données sur les demandes > Champs personnalisés.
- Cliquez sur Ajouter Ajouter pour créer un champ personnalisé.
- Sélectionnez Champ d'application, puis Demande, Alerte ou Toutes. Le champ Champ d'application est obligatoire et ne peut pas être modifié une fois le champ personnalisé créé.
- Saisissez un nom pour le champ personnalisé. Le champ Nom est obligatoire et ne peut pas être modifié une fois le champ personnalisé créé.
Dans la liste, sélectionnez un Type de champ personnalisé :
- Texte libre : saisissez n'importe quel texte, jusqu'à 1 024 caractères.
- Case d'option : permet de sélectionner l'une des deux options personnalisables.
- Sélection unique : liste avec une seule option à sélectionner. Ce type accepte un maximum de 1 024 caractères, chaque nom d'option étant limité à 255 caractères.
- Sélection multiple : liste avec plusieurs options à sélectionner. Ce type accepte un maximum de 1 024 caractères, chaque nom d'option étant limité à 255 caractères.
- Agenda : champ de date et d'heure. Le format par défaut est
DD/MM/YYYY HH:MM:SS.
Cliquez sur Enregistrer.
Cas d'utilisation : utiliser des champs personnalisés pour renforcer la résistance à l'hameçonnage
Ce cas d'utilisation décrit les étapes à suivre pour définir trois champs personnalisés (une case d'option, une liste à sélection unique et un calendrier) et comment les ajouter au widget Formulaire de champ personnalisé. Ces champs enrichissent la vue d'alerte par défaut avec des informations supplémentaires pour les alertes d'hameçonnage.
Définir le champ personnalisé "Faux positif"
- Pour Champ d'application, sélectionnez Alerte.
- Dans le champ Nom, saisissez
False Positive. - Dans la liste Type, sélectionnez Bouton radio.
- Dans le champ Options, saisissez
True Positive(puis appuyez sur Entrée), puis saisissezFalse Positive(puis appuyez sur Entrée). - Cliquez sur Enregistrer.
Définir le champ personnalisé "Action de l'utilisateur"
- Cliquez sur Ajouter pour créer un autre champ personnalisé.
- Pour Champ d'application, sélectionnez Alerte.
- Dans le champ Nom, saisissez Action utilisateur.
- Dans la liste Type, sélectionnez Sélection unique.
- Dans le champ Options, saisissez
Clicked(puis appuyez sur Entrée),Reported(puis appuyez sur Entrée), puisIgnored(puis appuyez sur Entrée). - Cliquez sur Enregistrer.
Définir le champ personnalisé "Heure du rapport"
- Cliquez sur Ajouter pour créer un autre champ personnalisé.
- Pour Champ d'application, sélectionnez Alerte.
- Dans le champ Nom, saisissez
Report Time. - Dans la liste Type, sélectionnez Calendar (Agenda).
- Cliquez sur Enregistrer.
Ajouter des champs personnalisés au widget au niveau des alertes
Après avoir défini des champs personnalisés, ajoutez-les au widget Formulaire de champs personnalisés. Chaque widget peut contenir jusqu'à 50 champs personnalisés. Les étapes suivantes montrent comment ajouter les trois champs personnalisés que vous avez créés précédemment au widget Custom Fields Form (Formulaire de champs personnalisés) pour enrichir la vue d'alerte par défaut.
- Accédez à Paramètres SOAR > Données sur les demandes > Vues > Vue par défaut des alertes. La vue d'alerte par défaut s'ouvre avec les widgets disponibles.
- Dans l'onglet Général, faites glisser le widget Formulaire de champs personnalisés vers la Vue d'alerte par défaut.
- Dans le widget Formulaire de champs personnalisés, cliquez sur Paramètres Configuration pour ouvrir ses paramètres.
- Dans le champ Titre du widget, saisissez
True or False Positive Alert. - Sélectionnez Gérer les champs personnalisés.
- Cochez les cases Faux positif, Action de l'utilisateur et Heure du signalement, puis cliquez sur Enregistrer. Le système ajoute ces champs personnalisés au widget Formulaire de champs personnalisés.
- Cliquez sur le bouton Obligatoire.
- Sélectionnez Enregistrer pour enregistrer la configuration et fermer la fenêtre.
- Cliquez sur Enregistrer la vue.
Utiliser le widget "Formulaire de champs personnalisés"
Une fois que vous avez ajouté des champs personnalisés au widget Formulaire de champs personnalisés, ils s'affichent dans l'onglet Présentation des cas et des alertes. Les analystes peuvent ensuite saisir directement les informations requises. En vous appuyant sur l'exemple précédent, suivez ces étapes pour utiliser le widget :
- Dans l'onglet Vue d'ensemble des alertes, sélectionnez le widget Champs personnalisés, puis cliquez sur Modifier.
- Renseignez les informations pertinentes pour les trois champs personnalisés :
- Faux positif : cochez la case d'option pour indiquer si l'alerte est un faux positif
trueoufalse. - Action de l'utilisateur : sélectionnez Cliqué, Signalé ou Ignoré.
- Heure du signalement : sélectionnez la date à laquelle l'alerte a été signalée.
- Faux positif : cochez la case d'option pour indiquer si l'alerte est un faux positif
- Cliquez sur Enregistrer.
Utiliser des champs personnalisés dans les playbooks
Vous pouvez utiliser les champs personnalisés que vous définissez sur cette page dans les actions et les espaces réservés des playbooks. Pour en savoir plus sur les actions de playbook, consultez Intégrer Siemplify à Google SecOps.
Espaces réservés pour les champs personnalisés
Les champs personnalisés sont disponibles dans la catégorie d'espace réservé Champs personnalisés. Utilisez le format suivant pour ces espaces réservés :
\[AlertCustom.{custom field name}\]\[CaseCustom.{custom field name}\]
Utiliser des champs personnalisés dans les rapports avancés
Les champs personnalisés créés pour les demandes peuvent être utilisés dans les rapports avancés pour obtenir des insights plus approfondis à partir de vos données.
Remarque : Les rapports avancés n'acceptent que les champs personnalisés de portée Demande.
Créer des champs personnalisés pour les valeurs à sélection unique dans Looker
Pour référencer un champ personnalisé à sélection unique (par exemple, "Country") dans un rapport Looker, utilisez la formule LookML suivante comme champ calculé :
if(
contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
replace(
replace(
replace(
if(position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)>0,
substring(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
0,
position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)
),
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
)),
" \"",
""
),
"\"",
""
),
"}",""),
null
)
Créer des champs personnalisés pour les valeurs à sélection multiple dans Looker
Pour référencer un champ personnalisé à sélection multiple (par exemple, "Department") dans un rapport Looker, utilisez la formule LookML suivante comme champ calculé :
if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),
substring(
replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"","")
,0, position(replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"",""),"\"")-1)
, null)
Filtrer les champs personnalisés dans Looker
Pour filtrer efficacement les champs personnalisés dans Looker, la méthode à utiliser dépend de si vous travaillez avec une présentation ou un tableau de bord.
Filtrer dans une présentation
Pour filtrer les champs personnalisés à sélection unique et à sélection multiple dans un Look, vous pouvez utiliser directement le champ de dimension personnalisée créé avec les formules précédentes.
Filtrer les tableaux de bord
Pour filtrer les champs personnalisés dans les tableaux de bord, vous devez faire référence à la valeur JSON sous-jacente dans Explorer et utiliser les valeurs appropriées dans le filtre, comme suit :
- Champs à sélection unique : par exemple, pour filtrer les demandes dans lesquelles le champ personnalisé Pays est défini sur
China, utilisez la condition de filtre%"Country": "China"%(la syntaxe exacte peut varier légèrement selon la version de Looker). - Champs à sélection multiple : pour filtrer les champs à sélection multiple avec des tableaux de bord, référencez et utilisez la valeur JSON et la syntaxe appropriée, qui peuvent varier en fonction de vos besoins de filtrage (par exemple, en faisant correspondre une partie ou la totalité des valeurs sélectionnées).
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.