커스텀 필드 관리
이 문서에서는 커스텀 필드를 만들고 관리하는 방법과 고급 보고에 사용하는 방법을 설명합니다. 관리자는 맞춤 입력란을 사용하여 케이스 및 알림에 특정 정보를 추가할 수 있습니다. 케이스 및 알림의 기본 보기를 정의하는 맞춤 필드 양식 위젯을 사용하여 이러한 맞춤 필드를 정리할 수 있습니다. 그러면 분석가는 맞춤 필드의 구성된 범위에 따라 케이스 및 알림의 개요 탭에서 이 위젯에 정보를 직접 입력할 수 있습니다.
맞춤 필드 만들기
관리자는 최대 1,000개의 맞춤 필드를 만들 수 있습니다. 맞춤 입력란을 저장한 후에는 범위, 유형 또는 이름을 수정할 수 없습니다. 맞춤 필드를 만들려면 다음 단계를 따르세요.
- SOAR 설정 > 케이스 데이터 > 맞춤 필드로 이동합니다.
- 추가 추가를 클릭하여 새 맞춤 필드를 만듭니다.
- 범위를 선택한 다음 케이스, 알림 또는 모두를 선택합니다. 범위 필드는 필수이며 커스텀 필드를 만든 후에는 변경할 수 없습니다.
- 맞춤 입력란 이름을 입력합니다. 이름 필드는 필수이며 커스텀 필드를 만든 후에는 변경할 수 없습니다.
목록에서 맞춤 입력란 유형을 선택합니다.
- 자유 텍스트: 최대 1,024자(영문 기준)의 텍스트를 입력합니다.
- 라디오 버튼: 선택을 위한 맞춤설정 가능한 두 가지 옵션을 제공합니다.
- 하나 선택: 선택할 수 있는 옵션이 하나인 목록입니다. 이 유형은 최대 1,024자를 지원하며 각 옵션 이름은 255자로 제한됩니다.
- 다중 선택: 선택할 수 있는 옵션이 여러 개 있는 목록입니다. 이 유형은 최대 1,024자를 지원하며 각 옵션 이름은 255자로 제한됩니다.
- Calendar: 날짜 및 시간 필드입니다. 기본 형식은
DD/MM/YYYY HH:MM:SS입니다.
저장을 클릭합니다.
사용 사례: 커스텀 필드를 사용하여 피싱 방지 강화
이 사용 사례에서는 라디오 버튼, 단일 선택 목록, 캘린더의 세 가지 맞춤 필드를 정의하는 단계와 맞춤 필드 양식 위젯에 추가하는 방법을 설명합니다. 이러한 필드는 피싱 알림에 대한 추가 정보로 기본 알림 보기를 보강합니다.
오탐 커스텀 필드 정의
- 범위에서 알림을 선택합니다.
- 이름 필드에
False Positive를 입력합니다. - 유형 목록에서 라디오 버튼을 선택합니다.
- 옵션 필드에
True Positive을 입력하고 (Enter 키 누름)False Positive을 입력합니다 (Enter 키 누름). - 저장을 클릭합니다.
사용자 작업 맞춤 필드 정의
- 추가를 클릭하여 새 맞춤 필드를 추가로 만듭니다.
- 범위에서 알림을 선택합니다.
- 이름 필드에 사용자 작업을 입력합니다.
- 유형 목록에서 단일 선택을 선택합니다.
- 옵션 필드에
Clicked을 입력하고 (Enter 키 누름)Reported을 입력하고 (Enter 키 누름)Ignored을 입력합니다 (Enter 키 누름). - 저장을 클릭합니다.
'보고 시간' 맞춤 필드 정의
- 추가를 클릭하여 새 맞춤 필드를 추가로 만듭니다.
- 범위에서 알림을 선택합니다.
- 이름 필드에
Report Time를 입력합니다. - 유형 목록에서 캘린더를 선택합니다.
- 저장을 클릭합니다.
알림 수준 위젯에 맞춤 필드 추가
맞춤 필드를 정의한 후 맞춤 필드 양식 위젯에 추가합니다. 각 위젯은 최대 50개의 맞춤 필드를 포함할 수 있습니다. 다음 단계에서는 이전에 만든 세 개의 맞춤 필드를 맞춤 필드 양식 위젯에 추가하여 기본 알림 보기를 보강하는 방법을 보여줍니다.
- SOAR 설정 > 케이스 데이터 > 뷰 > 기본 알림 뷰로 이동합니다. 사용 가능한 위젯과 함께 기본 알림 보기가 열립니다.
- 일반 탭에서 맞춤 필드 양식 위젯을 기본 알림 보기로 드래그합니다.
- 맞춤 필드 양식 위젯에서 설정 구성을 클릭하여 설정을 엽니다.
- 위젯 제목 필드에
True or False Positive Alert를 입력합니다. - 맞춤 입력란 관리를 선택합니다.
- 오탐, 사용자 작업, 신고 시간 체크박스를 선택한 다음 저장을 클릭합니다. 시스템은 이러한 맞춤 필드를 맞춤 필드 양식 위젯에 추가합니다.
- 필수 전환 버튼을 클릭합니다.
- 저장을 선택하여 구성을 저장하고 창을 닫습니다.
- 뷰 저장을 클릭합니다.
커스텀 필드 양식 위젯 사용
맞춤 필드 양식 위젯에 맞춤 필드를 추가하면 케이스 및 알림의 개요 탭에 표시됩니다. 그러면 분석가가 필요한 정보를 직접 입력할 수 있습니다. 이전 예시를 바탕으로 다음 단계에 따라 위젯을 사용하세요.
- 알림 개요 탭에서 맞춤 필드 위젯을 선택하고 수정을 클릭합니다.
- 세 개의 맞춤 입력란에 관련 정보를 입력합니다.
- False Positive: 알림이
true또는false양성인지 나타내는 라디오 버튼을 선택합니다. - 사용자 작업: 클릭됨, 신고됨 또는 무시됨을 선택합니다.
- 신고 시간: 알림이 신고된 날짜를 선택합니다.
- False Positive: 알림이
- 저장을 클릭합니다.
플레이북에서 맞춤 필드 사용
이 페이지에서 정의한 맞춤 필드를 플레이북 작업 및 자리표시자의 일부로 사용할 수 있습니다. 플레이북 작업에 대한 자세한 내용은 Siemplify와 Google SecOps 통합을 참고하세요.
맞춤 입력란 자리표시자
커스텀 필드는 커스텀 필드 자리표시자 카테고리에서 사용할 수 있습니다. 이러한 자리표시자에는 다음 형식을 사용하세요.
\[AlertCustom.{custom field name}\]\[CaseCustom.{custom field name}\]
고급 보고서에서 맞춤 입력란 사용하기
케이스에 대해 생성된 맞춤 입력란은 고급 보고서에서 데이터를 통해 더 심층적인 유용한 정보를 얻는 데 사용할 수 있습니다.
참고: 고급 보고서는 케이스 범위가 있는 맞춤 필드만 지원합니다.
Looker에서 단일 선택 값의 맞춤 필드 만들기
Looker 보고서에서 단일 선택 맞춤 필드 (예: "Country")를 참조하려면 다음 LookML 수식을 계산된 필드로 사용하세요.
if(
contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
replace(
replace(
replace(
if(position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)>0,
substring(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
0,
position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)
),
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
)),
" \"",
""
),
"\"",
""
),
"}",""),
null
)
Looker에서 다중 선택 값에 대한 맞춤 필드 만들기
Looker 보고서에서 다중 선택 맞춤 필드 (예: "Department")를 참조하려면 다음 LookML 수식을 계산된 필드로 사용하세요.
if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),
substring(
replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"","")
,0, position(replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"",""),"\"")-1)
, null)
Looker에서 맞춤 필드 필터링
Looker에서 맞춤 필터를 효과적으로 필터링하려면 Look 또는 대시보드에서 작업하는지에 따라 사용하는 방법이 달라집니다.
Look 필터링
Look에서 단일 선택 및 다중 선택 맞춤 필드를 모두 필터링하려면 앞의 수식으로 만든 맞춤 측정기준 필드를 직접 사용하면 됩니다.
대시보드 필터링
대시보드에서 맞춤 필드를 필터링하려면 탐색에서 기본 JSON 값을 참조하고 다음과 같이 필터에서 적절한 값을 사용해야 합니다.
- 단일 선택 필드: 예를 들어 국가 맞춤 입력란이
China인 케이스를 필터링하려면%"Country": "China"%필터 조건을 사용합니다 (Looker 버전에 따라 정확한 구문이 약간 다를 수 있음). - 다중 선택 필드: 대시보드로 다중 선택 필드를 필터링하려면 필터링 요구사항 (예: 선택된 값 중 일부 또는 전부 일치)에 따라 달라질 수 있는 JSON 값과 적절한 구문을 참조하고 사용하세요.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.