カスタム フィールドを管理する
このドキュメントでは、カスタム フィールドを作成、管理する方法と、高度なレポートでカスタム フィールドを使用する方法について説明します。カスタム フィールドを使用すると、管理者はケースやアラートに特定の情報を追加できます。これらのカスタム フィールドは、ケースとアラートのデフォルト ビューを定義するカスタム フィールド フォーム ウィジェットを使用して整理できます。アナリストは、カスタム フィールドの構成されたスコープに基づいて、ケースとアラートの [概要] タブからこのウィジェットに情報を直接入力できます。
カスタム フィールドを作成する
管理者は最大 1,000 個のカスタム フィールドを作成できます。カスタム フィールドを保存すると、そのスコープ、タイプ、名前を変更することはできません。カスタム フィールドを作成する手順は次のとおりです。
- [SOAR Settings] > [Case Data] > [Custom Fields] に移動します。
- [ 追加] 追加 をクリックして、新しいカスタム フィールドを作成します。
- [スコープ] を選択し、[ケース]、[アラート]、または [すべて](両方)を選択します。スコープ フィールドは必須であり、カスタム フィールドの作成後に変更することはできません。
- カスタム フィールドの名前を入力します。[名前] フィールドは必須であり、カスタム フィールドの作成後に変更することはできません。
リストからカスタム フィールドのタイプを選択します。
- 自由テキスト: 1,024 文字以内の任意のテキストを入力します。
- ラジオボタン: 選択用にカスタマイズ可能な 2 つのオプションを提供します。
- 単一選択: 選択するオプションが 1 つだけあるリスト。このタイプは最大 1,024 文字をサポートし、各オプション名は 255 文字に制限されています。
- 複数選択: 複数のオプションから選択できるリスト。 このタイプは最大 1,024 文字をサポートし、各オプション名は 255 文字に制限されています。
- カレンダー: 日付と時刻のフィールド。デフォルトの形式は
DD/MM/YYYY HH:MM:SSです。
[保存] をクリックします。
ユースケース: カスタム フィールドを使用してフィッシング対策を強化する
このユースケースでは、ラジオボタン、単一選択リスト、カレンダーの 3 つのカスタム フィールドを定義する手順と、それらを [カスタム フィールド フォーム] ウィジェットに追加する方法について説明します。これらのフィールドは、フィッシング アラートに関する追加情報でデフォルトのアラート ビューを拡充します。
[False Positive] カスタム フィールドを定義する
- [スコープ] で [アラート] を選択します。
- [名前] フィールドに「
False Positive」と入力します。 - [タイプ] リストで、[ラジオボタン] を選択します。
- [オプション] フィールドに「
True Positive」(Enter キーを押す)と入力し、「False Positive」(Enter キーを押す)と入力します。 - [保存] をクリックします。
ユーザー アクションのカスタム フィールドを定義する
- [追加] をクリックして、別の新しいカスタム フィールドを作成します。
- [スコープ] で [アラート] を選択します。
- [名前] フィールドに「User Action」と入力します。
- [タイプ] リストで、[単一選択] を選択します。
- [オプション] フィールドに、
Clicked(Enter キーを押す)、Reported(Enter キーを押す)、Ignored(Enter キーを押す)と入力します。 - [保存] をクリックします。
レポート時間カスタム フィールドを定義する
- [追加] をクリックして、別の新しいカスタム フィールドを作成します。
- [スコープ] で [アラート] を選択します。
- [名前] フィールドに「
Report Time」と入力します。 - [タイプ] リストで、[カレンダー] を選択します。
- [保存] をクリックします。
アラートレベル ウィジェットにカスタム フィールドを追加する
カスタム フィールドを定義したら、[カスタム フィールド フォーム] ウィジェットに追加します。各ウィジェットには最大 50 個のカスタム フィールドを含めることができます。次の手順では、以前に作成した 3 つのカスタム フィールドを [カスタム フィールド フォーム] ウィジェットに追加して、デフォルトのアラートビューを拡充する方法について説明します。
- [SOAR Settings] > [Case Data] > [Views] > [Default Alert View] に移動します。[デフォルトのアラート ビュー] が開き、利用可能なウィジェットが表示されます。
- [全般] タブで、[カスタム フィールド フォーム] ウィジェットを [デフォルトのアラートビュー] にドラッグします。
- [Custom Fields Form] ウィジェットで、[ Settings Configuration] をクリックして設定を開きます。
- [ウィジェットのタイトル] フィールドに「
True or False Positive Alert」と入力します。 - [カスタム フィールドを管理] を選択します。
- [False Positive]、[User Action]、[Report Time] のチェックボックスをオンにして、[Save] をクリックします。システムは、これらのカスタム フィールドを [カスタム フィールド フォーム] ウィジェットに追加します。
- [必須] トグルをクリックします。
- [保存] を選択して構成を保存し、ウィンドウを閉じます。
- [ビューを保存] をクリックします。
カスタムフィールド フォーム ウィジェットを使用する
[カスタム フィールド フォーム] ウィジェットにカスタム フィールドを追加すると、ケースとアラートの [概要] タブに表示されます。アナリストは、必要な情報を直接入力できます。前の例を基に、次の手順でウィジェットを使用します。
- [アラートの概要] タブで、[カスタム フィールド] ウィジェットを選択し、[ 編集] をクリックします。
- 3 つのカスタム フィールドに該当する情報を入力します。
- False Positive: アラートが
trueまたはfalseのいずれの過検知であるかを示すラジオボタンを選択します。 - ユーザー アクション: [クリック]、[報告]、[無視] のいずれかを選択します。
- レポートの日時: アラートが報告された日付を選択します。
- False Positive: アラートが
- [保存] をクリックします。
ハンドブックでカスタム フィールドを使用する
このページで定義したカスタム フィールドは、ハンドブック アクションとプレースホルダの一部として使用できます。ハンドブック アクションの詳細については、Siemplify と Google SecOps を統合するをご覧ください。
カスタム フィールドのプレースホルダ
カスタム フィールドは、[カスタム フィールド] プレースホルダ カテゴリにあります。これらのプレースホルダには次の形式を使用します。
\[AlertCustom.{custom field name}\]\[CaseCustom.{custom field name}\]
詳細レポートでカスタム フィールドを使用する
ケース用に作成したカスタム フィールドは、詳細レポートで使用して、データからより深い分析情報を得ることができます。
注: 詳細レポートでは、ケースのスコープを持つカスタム フィールドのみがサポートされます。
Looker で単一選択の値のカスタム フィールドを作成する
Looker レポートで単一選択のカスタム フィールド("Country" など)を参照するには、次の LookML 数式を計算フィールドとして使用します。
if(
contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
replace(
replace(
replace(
if(position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)>0,
substring(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
0,
position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)
),
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
)),
" \"",
""
),
"\"",
""
),
"}",""),
null
)
Looker で複数選択の値のカスタム フィールドを作成する
Looker レポートで複数選択のカスタム フィールド("Department" など)を参照するには、次の LookML 数式を計算フィールドとして使用します。
if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),
substring(
replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"","")
,0, position(replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"",""),"\"")-1)
, null)
Looker でカスタム フィールドをフィルタする
Looker でカスタム フィールドを効果的にフィルタするには、Look を使用しているか、ダッシュボードを使用しているかによって、使用するメソッドが異なります。
Look でのフィルタリング
Look で単一選択と複数選択の両方のカスタム フィールドをフィルタするには、上記の数式で作成したカスタム ディメンション フィールドを直接使用します。
ダッシュボードのフィルタリング
ダッシュボードでカスタム フィールドをフィルタするには、Explore から基盤となる JSON 値を参照し、次のようにフィルタで適切な値を使用する必要があります。
- 単一選択フィールド: たとえば、国カスタム フィールドが
Chinaのケースをフィルタするには、フィルタ条件%"Country": "China"%を使用します(構文は Looker のバージョンによって若干異なる場合があります)。 - 複数選択フィールド: ダッシュボードで複数選択フィールドをフィルタするには、JSON 値と適切な構文を参照して使用します。これは、フィルタリングのニーズ(選択した値のいずれかまたはすべてを照合するなど)によって異なります。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。