Gestisci campi personalizzati
Questo documento descrive come creare e gestire i campi personalizzati e come utilizzarli per i report avanzati. I campi personalizzati consentono agli amministratori di aggiungere informazioni specifiche a richieste e avvisi. Puoi organizzare questi campi personalizzati utilizzando un widget Modulo campi personalizzati, che definisce le visualizzazioni predefinite per casi e avvisi. Gli analisti possono quindi inserire le informazioni direttamente in questo widget dalla scheda Panoramica di casi e avvisi, in base all'ambito configurato del campo personalizzato.
Creare un campo personalizzato
Gli amministratori possono creare fino a 1000 campi personalizzati. Una volta salvato un campo personalizzato, non puoi modificarne Ambito, Tipo o Nome. Per creare un campo personalizzato:
- Vai a Impostazioni SOAR > Dati dei casi > Campi personalizzati.
- Fai clic su Aggiungi Aggiungi per creare un nuovo campo personalizzato.
- Seleziona Ambito, quindi Richiesta, Avviso o Tutti (entrambi). Il campo Ambito è obbligatorio e non può essere modificato dopo la creazione del campo personalizzato.
- Inserisci un nome per il campo personalizzato. Il campo Nome è obbligatorio e non può essere modificato dopo la creazione del campo personalizzato.
Nell'elenco, seleziona un Tipo di campo personalizzato:
- Testo libero: inserisci qualsiasi testo, fino a 1024 caratteri.
- Pulsante di opzione: fornisce due opzioni personalizzabili per la selezione.
- Selezione singola: elenco con una sola opzione da selezionare. Questo tipo supporta un massimo di 1024 caratteri, con ogni nome di opzione limitato a 255 caratteri.
- Selezione multipla: elenco con più opzioni da selezionare. Questo tipo supporta un massimo di 1024 caratteri, con ogni nome di opzione limitato a 255 caratteri.
- Calendario: un campo data e ora. Il formato predefinito è
DD/MM/YYYY HH:MM:SS.
Fai clic su Salva.
Caso d'uso: utilizzare i campi personalizzati per migliorare la resistenza al phishing
Questo caso d'uso descrive i passaggi per definire tre campi personalizzati: un pulsante di opzione, un elenco a selezione singola e un calendario, nonché come aggiungerli al widget Modulo campo personalizzato. Questi campi arricchiscono la visualizzazione degli avvisi predefinita con informazioni aggiuntive per gli avvisi di phishing.
Definisci il campo personalizzato Falso positivo
- In Ambito, seleziona Avviso.
- Nel campo Nome, inserisci
False Positive. - Nell'elenco Tipo, seleziona Pulsante di opzione.
- Nel campo Opzioni, inserisci
True Positive(poi premi Invio) e poi inserisciFalse Positive(poi premi Invio). - Fai clic su Salva.
Definisci il campo personalizzato Azione utente
- Fai clic su Aggiungi per creare un altro nuovo campo personalizzato.
- In Ambito, seleziona Avviso.
- Nel campo Nome, inserisci Azione utente.
- Nell'elenco Tipo, seleziona Selezione singola.
- Nel campo Opzioni, inserisci
Clicked(poi premi Invio),Reported(poi premi Invio) e infineIgnored(poi premi Invio). - Fai clic su Salva.
Definisci il campo personalizzato Ora report
- Fai clic su Aggiungi per creare un altro nuovo campo personalizzato.
- In Ambito, seleziona Avviso.
- Nel campo Nome, inserisci
Report Time. - Nell'elenco Tipo, seleziona Calendario.
- Fai clic su Salva.
Aggiungere campi personalizzati al widget a livello di avviso
Dopo aver definito i campi personalizzati, aggiungili al widget Modulo campi personalizzati. Ogni widget può contenere fino a 50 campi personalizzati. I seguenti passaggi mostrano come aggiungere i tre campi personalizzati creati in precedenza al widget Modulo campi personalizzati per arricchire la visualizzazione degli avvisi predefinita.
- Vai a Impostazioni SOAR > Dati caso > Viste > Vista avvisi predefinita. Si apre la visualizzazione avvisi predefinita con i widget disponibili.
- Nella scheda Generali, trascina il widget Modulo campi personalizzati nella visualizzazione avvisi predefinita.
- Nel widget Modulo campi personalizzati, fai clic su Impostazioni Configurazione per aprire le impostazioni.
- Nel campo Titolo widget, inserisci
True or False Positive Alert. - Seleziona Gestisci campi personalizzati.
- Seleziona le caselle di controllo Falso positivo, Azione utente e Ora segnalazione, quindi fai clic su Salva. Il sistema aggiunge questi campi personalizzati al widget Modulo campi personalizzati.
- Fai clic sul pulsante di attivazione/disattivazione Obbligatorio.
- Seleziona Salva per salvare la configurazione e chiudere la finestra.
- Fai clic su Salva visualizzazione.
Utilizzare il widget Modulo campi personalizzati
Dopo aver aggiunto i campi personalizzati al widget Modulo campi personalizzati, questi vengono visualizzati nella scheda Panoramica di richieste e avvisi. Gli analisti possono quindi inserire direttamente le informazioni richieste. Basandosi sull'esempio precedente, segui questi passaggi per utilizzare il widget:
- Nella scheda Panoramica avvisi, seleziona il widget Campi personalizzati e fai clic su Modifica.
- Compila le informazioni pertinenti per i tre campi personalizzati:
- Falso positivo: seleziona il pulsante di opzione per indicare se l'avviso è un positivo
trueofalse. - Azione utente: seleziona Cliccato, Segnalato o Ignorato.
- Ora della segnalazione: seleziona la data in cui è stato segnalato l'avviso.
- Falso positivo: seleziona il pulsante di opzione per indicare se l'avviso è un positivo
- Fai clic su Salva.
Utilizzare i campi personalizzati nelle guide strategiche
Puoi utilizzare i campi personalizzati definiti in questa pagina come parte delle azioni e dei segnaposto del playbook. Per ulteriori informazioni sulle azioni del playbook, consulta Integrare Siemplify con Google SecOps.
Segnaposto per i campi personalizzati
I campi personalizzati sono disponibili nella categoria segnaposto Campi personalizzati. Utilizza il seguente formato per questi segnaposto:
\[AlertCustom.{custom field name}\]\[CaseCustom.{custom field name}\]
Utilizzare i campi personalizzati nei report avanzati
I campi personalizzati creati per le richieste possono essere utilizzati nei report avanzati per ottenere informazioni più approfondite dai tuoi dati.
Nota:i report avanzati supportano solo i campi personalizzati con ambito Richiesta.
Creare campi personalizzati per valori a selezione singola in Looker
Per fare riferimento a un campo personalizzato a selezione singola (ad esempio "Country") in un report di Looker, utilizza la seguente formula LookML come campo calcolato:
if(
contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
replace(
replace(
replace(
if(position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)>0,
substring(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
0,
position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)
),
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
)),
" \"",
""
),
"\"",
""
),
"}",""),
null
)
Creare campi personalizzati per i valori a selezione multipla in Looker
Per fare riferimento a un campo personalizzato a selezione multipla (ad esempio "Department") in un report di Looker, utilizza la seguente formula LookML come campo calcolato:
if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),
substring(
replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"","")
,0, position(replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"",""),"\"")-1)
, null)
Filtrare i campi personalizzati in Looker
Per filtrare in modo efficace i campi personalizzati in Looker, il metodo che utilizzi dipende dal fatto che tu stia lavorando con un Look o una dashboard.
Filtrare in un Look
Per filtrare i campi personalizzati a selezione singola e multipla in un Look, puoi utilizzare direttamente il campo della dimensione personalizzata creato con le formule precedenti.
Filtrare le dashboard
Per filtrare i campi personalizzati nelle dashboard, devi fare riferimento al valore JSON sottostante di Esplora e utilizzare i valori appropriati nel filtro, come segue:
- Campi a selezione singola: ad esempio, per filtrare i casi
in cui il campo personalizzato Paese è
China, utilizza la condizione di filtro%"Country": "China"%(la cui sintassi esatta potrebbe variare leggermente a seconda della versione di Looker). - Campi a selezione multipla:per filtrare i campi a selezione multipla con le dashboard, fai riferimento e utilizza il valore JSON e la sintassi appropriata, che può variare in base alle tue esigenze di filtraggio (ad esempio, corrispondenza di uno o tutti i valori selezionati).
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.