Halaman ini diterjemahkan oleh Cloud Translation API.

Kelola kolom kustom

Didukung di:

Google secops SOAR

Dokumen ini menjelaskan cara membuat dan mengelola kolom kustom, serta cara menggunakannya untuk pelaporan lanjutan. Kolom kustom memungkinkan administrator menambahkan informasi tertentu ke kasus dan pemberitahuan. Anda dapat mengatur kolom kustom ini menggunakan widget Formulir Kolom Kustom, yang menentukan tampilan default untuk kasus dan pemberitahuan. Kemudian, analis dapat memasukkan informasi langsung ke widget ini dari tab Ringkasan kasus dan pemberitahuan, berdasarkan cakupan kolom kustom yang dikonfigurasi.

Membuat kolom kustom

Administrator dapat membuat hingga 1.000 kolom kustom. Setelah kolom kustom disimpan, Anda tidak dapat mengubah Cakupan, Jenis, atau Nama-nya. Untuk membuat kolom kustom, lakukan hal berikut:

Buka Setelan SOAR > Data Kasus > Kolom Kustom.
Klik Tambahkan Tambahkan untuk membuat kolom kustom baru.
Pilih Cakupan, lalu pilih Kasus, Pemberitahuan, atau Semua (keduanya). Kolom Cakupan wajib diisi dan tidak dapat diubah setelah kolom kustom dibuat.
Masukkan Nama kolom kustom. Kolom Nama wajib diisi dan tidak dapat diubah setelah kolom kustom dibuat.
Dalam daftar, pilih Jenis kolom kustom:
- Teks Bebas: Masukkan teks apa pun, hingga 1.024 karakter.
- Tombol Pilihan: Menyediakan dua opsi yang dapat disesuaikan untuk dipilih.
- Satu Pilihan: Daftar dengan satu opsi untuk dipilih. Jenis ini mendukung maksimum 1.024 karakter, dengan setiap nama opsi dibatasi hingga 255 karakter.
- Pilihan Ganda: Daftar dengan beberapa opsi yang dapat dipilih. Jenis ini mendukung maksimum 1.024 karakter, dengan setiap nama opsi dibatasi hingga 255 karakter.
- Kalender: Kolom tanggal dan waktu. Format default-nya adalah DD/MM/YYYY HH:MM:SS.
Klik Simpan.

Kasus penggunaan: menggunakan kolom kustom untuk meningkatkan ketahanan terhadap phishing

Kasus penggunaan ini menguraikan langkah-langkah untuk menentukan tiga kolom kustom: tombol pilihan, daftar pilihan tunggal, dan kalender, serta cara menambahkannya ke widget Formulir Kolom Kustom. Kolom ini memperkaya tampilan pemberitahuan default dengan informasi tambahan untuk pemberitahuan phishing.

Menentukan kolom kustom Positif Palsu

Untuk Cakupan, pilih Peringatan.
Di kolom Name, masukkan False Positive.
Di daftar Jenis, pilih Tombol Radio.
Di kolom Options, masukkan True Positive (lalu tekan Enter), dan lalu masukkan False Positive (lalu tekan Enter).
Klik Simpan.

Menentukan kolom kustom Tindakan Pengguna

Klik Tambahkan untuk membuat kolom kustom baru lainnya.
Untuk Cakupan, pilih Peringatan.
Di kolom Name, masukkan User Action.
Dalam daftar Jenis, pilih Pilihan Tunggal.
Di kolom Options, masukkan Clicked (lalu tekan Enter), Reported (lalu tekan Enter), lalu Ignored (lalu tekan Enter).
Klik Simpan.

Menentukan kolom kustom Waktu Laporan

Klik Tambahkan untuk membuat kolom kustom baru lainnya.
Untuk Cakupan, pilih Peringatan.
Di kolom Name, masukkan Report Time.
Di daftar Jenis, pilih Kalender.
Klik Simpan.

Menambahkan kolom kustom ke widget tingkat pemberitahuan

Setelah menentukan kolom kustom, tambahkan kolom tersebut ke widget Formulir Kolom Kustom. Setiap widget dapat menampung hingga 50 kolom kustom. Langkah-langkah berikut menunjukkan cara menambahkan tiga kolom kustom yang Anda buat sebelumnya ke widget Custom Fields Form untuk memperkaya tampilan pemberitahuan default.

Buka Setelan SOAR > Data Kasus > Tampilan > Tampilan Pemberitahuan Default. Tampilan Pemberitahuan Default akan terbuka dengan widget yang tersedia.
Di tab Umum, tarik widget Formulir Kolom Kustom ke Tampilan Pemberitahuan Default.
Di widget Formulir Kolom Kustom, klik Setelan Konfigurasi untuk membuka setelannya.
Di kolom Judul Widget, masukkan True or False Positive Alert.
Pilih Kelola Kolom Kustom.
Centang kotak False Positive, User Action, dan Report Time, lalu klik Save. Sistem akan menambahkan kolom kustom ini ke widget Formulir Kolom Kustom.
Klik tombol Wajib diisi.
Pilih Simpan untuk menyimpan konfigurasi dan menutup jendela.
Klik Simpan Tampilan.

Menggunakan widget Formulir Kolom Kustom

Setelah Anda menambahkan kolom kustom ke widget Formulir Kolom Kustom, kolom tersebut akan muncul di tab Ringkasan kasus dan pemberitahuan. Kemudian, analis dapat memasukkan informasi yang diperlukan secara langsung. Dengan melanjutkan contoh sebelumnya, ikuti langkah-langkah berikut untuk menggunakan widget:

Di tab Ringkasan Pemberitahuan, pilih widget Kolom Kustom, lalu klik Edit.
Isi informasi yang relevan untuk tiga kolom kustom:
- Positif Palsu: Pilih tombol pilihan untuk menunjukkan apakah peringatan tersebut merupakan positif true atau false.
- Tindakan Pengguna: Pilih Diklik, Dilaporkan, atau Diabaikan.
- Waktu Pelaporan: Pilih tanggal saat notifikasi dilaporkan.
Klik Simpan.

Menggunakan kolom kustom dalam buku pedoman

Anda dapat menggunakan kolom kustom yang ditentukan di halaman ini sebagai bagian dari tindakan dan placeholder playbook. Untuk mengetahui informasi selengkapnya tentang tindakan playbook, lihat Mengintegrasikan Siemplify dengan Google SecOps.

Placeholder untuk kolom kustom

Kolom kustom tersedia di kategori placeholder Kolom Kustom. Gunakan format berikut untuk placeholder ini:

\[AlertCustom.{custom field name}\]
\[CaseCustom.{custom field name}\]

Menggunakan kolom kustom dalam laporan lanjutan

Kolom kustom yang dibuat untuk kasus dapat digunakan dalam laporan lanjutan untuk mendapatkan insight yang lebih mendalam dari data Anda.

Catatan: Laporan lanjutan hanya mendukung kolom kustom yang memiliki cakupan Kasus.

Membuat kolom kustom untuk nilai pilihan tunggal di Looker

Untuk mereferensikan kolom kustom pilihan tunggal (misalnya, "Country") dalam laporan Looker, gunakan formula LookML berikut sebagai kolom kalkulasi:


    if(
      contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
      replace(
      replace(
      replace(
        if(position(
          replace(
            ${vw_cases_custom_values.custom_field_json},
            substring(
              ${vw_cases_custom_values.custom_field_json},
              0,
              ( position(
                ${vw_cases_custom_values.custom_field_json},
                "\"Country\":")
                +
                length("\"Country\":")
              )
            ),
            ""
          ),
          "\","
        )>0,

        substring(
          replace(
            ${vw_cases_custom_values.custom_field_json},
            substring(
              ${vw_cases_custom_values.custom_field_json},
              0,
              ( position(
                ${vw_cases_custom_values.custom_field_json},
                "\"Country\":")
                +
                length("\"Country\":")
              )
            ),
            ""
          ),
          0,
          position(
            replace(
              ${vw_cases_custom_values.custom_field_json},
              substring(
                ${vw_cases_custom_values.custom_field_json},
                0,
                ( position(
                  ${vw_cases_custom_values.custom_field_json},
                  "\"Country\":")
                  +
                  length("\"Country\":")
                )
              ),
              ""
            ),
            "\","
          )
        ),
        replace(
          ${vw_cases_custom_values.custom_field_json},
          substring(
            ${vw_cases_custom_values.custom_field_json},
            0,
            ( position(
              ${vw_cases_custom_values.custom_field_json},
              "\"Country\":")
              +
              length("\"Country\":")
            )
          ),
          ""
        )),
        " \"",
        ""
      ),
      "\"",
      ""
    ),
    "}",""),
    null
    )

Tips: Untuk menggunakan formula ini untuk kolom kustom pilihan tunggal yang berbeda, ganti semua instance "Country" dengan nama persis kolom kustom Anda.

Membuat kolom kustom untuk nilai multi-pilihan di Looker

Untuk mereferensikan kolom kustom pilihan ganda (misalnya, "Department") dalam laporan Looker, gunakan formula LookML berikut sebagai kolom kalkulasi:


    if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),

    substring(

    replace(
    replace(

    substring(${vw_cases_custom_values.custom_field_json},
    position(
    ${vw_cases_custom_values.custom_field_json},
    "\"Department\""),length(${vw_cases_custom_values.custom_field_json}))


    ,"\", \"Department\":\"",","),

    "\"Department\":\"","")


    ,0, position(replace(
    replace(

    substring(${vw_cases_custom_values.custom_field_json},
    position(
    ${vw_cases_custom_values.custom_field_json},
    "\"Department\""),length(${vw_cases_custom_values.custom_field_json}))


    ,"\", \"Department\":\"",","),

    "\"Department\":\"",""),"\"")-1)

    , null)

Tips: Untuk menggunakan formula ini untuk kolom kustom multi-pilihan yang berbeda, ganti semua instance "Department" dengan nama persis kolom kustom Anda.

Memfilter kolom kustom di Looker

Untuk memfilter kolom kustom secara efektif di Looker, metode yang Anda gunakan bergantung pada apakah Anda bekerja dengan Look atau dasbor.

Memfilter di Look

Untuk memfilter kolom kustom pilihan tunggal dan pilihan ganda dalam Look, Anda dapat langsung menggunakan kolom dimensi kustom yang dibuat dengan formula sebelumnya.

Memfilter dasbor

Untuk memfilter kolom kustom di dasbor, Anda harus mereferensikan nilai JSON pokok dari Jelajah dan menggunakan nilai yang sesuai dalam filter, sebagai berikut:

Kolom pilihan tunggal: Misalnya, untuk memfilter kasus dengan kolom kustom Negara adalah China, gunakan kondisi filter: %"Country": "China"% (dengan sintaksis yang mungkin sedikit berbeda bergantung pada versi Looker).
Kolom pilihan ganda: Untuk memfilter kolom pilihan ganda dengan dasbor, lihat dan gunakan nilai JSON dan sintaksis yang sesuai, yang dapat bervariasi berdasarkan kebutuhan pemfilteran Anda (misalnya, mencocokkan nilai yang dipilih).

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.