Faça a gestão dos campos personalizados
Este documento descreve como criar e gerir campos personalizados, e como os usar para relatórios avançados. Os campos personalizados permitem que os administradores adicionem informações específicas a registos e alertas. Pode organizar estes campos personalizados através de um widget Formulário de campos personalizados, que define as vistas predefinidas para registos e alertas. Em seguida, os analistas podem introduzir informações diretamente neste widget a partir do separador Vista geral de registos e alertas, com base no âmbito configurado do campo personalizado.
Crie um campo personalizado
Os administradores podem criar até 1000 campos personalizados. Depois de guardar um campo personalizado, não pode modificar o respetivo Âmbito, Tipo nem Nome. Para criar um campo personalizado, faça o seguinte:
- Aceda a Definições do SOAR > Dados de registos > Campos personalizados.
- Clique em Adicionar Adicionar para criar um novo campo personalizado.
- Selecione Âmbito e, de seguida, selecione Registo, Alerta ou Tudo (ambos). O campo Âmbito é obrigatório e não pode ser alterado depois de criar o campo personalizado.
- Introduza um Nome para o campo personalizado. O campo Nome é obrigatório e não pode ser alterado após a criação do campo personalizado.
Na lista, selecione um Tipo de campo personalizado:
- Texto livre: introduza qualquer texto, até 1024 carateres.
- Botão de opção: oferece duas opções personalizáveis para seleção.
- Seleção única: lista com uma única opção para selecionar. Este tipo suporta um máximo de 1024 carateres, com cada nome de opção limitado a 255 carateres.
- Seleção múltipla: lista com várias opções para selecionar. Este tipo suporta um máximo de 1024 carateres, com cada nome de opção limitado a 255 carateres.
- Calendário: um campo de data e hora. O formato predefinido é
DD/MM/YYYY HH:MM:SS.
Clique em Guardar.
Exemplo de utilização: use campos personalizados para melhorar a resistência ao phishing
Este exemplo de utilização descreve os passos para definir três campos personalizados: um botão de opção, uma lista de seleção única e um calendário, e como adicioná-los ao widget Formulário de campo personalizado. Estes campos enriquecem a vista de alerta predefinida com informações adicionais para alertas de phishing.
Defina o campo personalizado Falso positivo
- Para Âmbito, selecione Alerta.
- No campo Nome, introduza
False Positive. - Na lista Tipo, selecione Botão de opção.
- No campo Opções, introduza
True Positive(prima Enter) e, de seguida, introduzaFalse Positive(prima Enter). - Clique em Guardar.
Defina o campo personalizado de ação do utilizador
- Clique em Adicionar para criar outro novo campo personalizado.
- Para Âmbito, selecione Alerta.
- No campo Nome, introduza Ação do utilizador.
- Na lista Tipo, selecione Seleção única.
- No campo Opções, introduza
Clicked(prima Enter),Reported(prima Enter) e, de seguida,Ignored(prima Enter). - Clique em Guardar.
Defina o campo personalizado Hora do relatório
- Clique em Adicionar para criar outro novo campo personalizado.
- Para Âmbito, selecione Alerta.
- No campo Nome, introduza
Report Time. - Na lista Tipo, selecione Calendário.
- Clique em Guardar.
Adicione campos personalizados ao widget ao nível do alerta
Depois de definir os campos personalizados, adicione-os ao widget Formulário de campos personalizados. Cada widget pode conter até 50 campos personalizados. Os passos seguintes mostram como adicionar os três campos personalizados que criou anteriormente ao widget Formulário de campos personalizados para enriquecer a vista de alerta predefinida.
- Aceda a Definições do SOAR > Dados de registos > Vistas > Vista de alerta predefinida. A vista de alerta predefinida é aberta com os widgets disponíveis.
- No separador Geral, arraste o widget Formulário de campos personalizados para a Vista de alerta predefinida.
- No widget Formulário de campos personalizados, clique em Definições Configuração para abrir as respetivas definições.
- No campo Título do widget, introduza
True or False Positive Alert. - Selecione Gerir campos personalizados.
- Selecione as caixas de verificação Falso positivo, Ação do utilizador e Hora da denúncia e, de seguida, clique em Guardar. O sistema adiciona estes campos personalizados ao widget Formulário de campos personalizados.
- Clique no botão Obrigatório.
- Selecione Guardar para guardar a configuração e fechar a janela.
- Clique em Guardar vista.
Use o widget Formulário de campos personalizados
Depois de adicionar campos personalizados ao widget Formulário de campos personalizados, este é apresentado no separador Vista geral de registos e alertas. Em seguida, os analistas podem introduzir as informações necessárias diretamente. Com base no exemplo anterior, siga estes passos para usar o widget:
- No separador Vista geral de alertas, selecione o widget Campos personalizados e clique em Editar.
- Preencha as informações relevantes para os três campos personalizados:
- Falso positivo: selecione o botão de opção para indicar se o alerta é um falso
trueoufalsepositivo. - Ação do utilizador: selecione Clicado, Denunciado ou Ignorado.
- Hora da denúncia: selecione a data em que o alerta foi denunciado.
- Falso positivo: selecione o botão de opção para indicar se o alerta é um falso
- Clique em Guardar.
Use campos personalizados em manuais de soluções
Pode usar os campos personalizados que definir nesta página como parte das ações e dos marcadores de posição do manual de soluções. Para mais informações sobre as ações do manual de procedimentos, consulte o artigo Integre o Siemplify com o Google SecOps.
Marcadores de posição para campos personalizados
Os campos personalizados estão disponíveis na categoria de marcadores de posição Campos personalizados. Use o seguinte formato para estes marcadores de posição:
\[AlertCustom.{custom field name}\]\[CaseCustom.{custom field name}\]
Use campos personalizados em relatórios avançados
Os campos personalizados criados para registos podem ser usados em relatórios avançados para obter estatísticas mais detalhadas dos seus dados.
Nota: os relatórios avançados só suportam campos personalizados com um âmbito de Registo.
Crie campos personalizados para valores de seleção única no Looker
Para fazer referência a um campo personalizado de seleção única (por exemplo, "Country") num relatório do Looker, use a seguinte fórmula LookML como um campo calculado:
if(
contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
replace(
replace(
replace(
if(position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)>0,
substring(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
0,
position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)
),
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
)),
" \"",
""
),
"\"",
""
),
"}",""),
null
)
Crie campos personalizados para valores de seleção múltipla no Looker
Para fazer referência a um campo personalizado de seleção múltipla (por exemplo, "Department") num relatório do Looker, use a seguinte fórmula LookML como um campo calculado:
if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),
substring(
replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"","")
,0, position(replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"",""),"\"")-1)
, null)
Filtre campos personalizados no Looker
Para filtrar eficazmente campos personalizados no Looker, o método que usa depende de estar a trabalhar com um Look ou um painel de controlo.
Filtrar num Look
Para filtrar campos personalizados de seleção única e múltipla num Look, pode usar diretamente o campo de dimensão personalizada criado com as fórmulas anteriores.
Filtragem em painéis de controlo
Para filtrar campos personalizados em painéis de controlo, tem de referenciar o valor JSON subjacente a partir da opção Explorar e usar os valores adequados no filtro, da seguinte forma:
- Campos de seleção única: por exemplo, para filtrar casos em que o campo personalizado País é
China, use a condição de filtro:%"Country": "China"%(em que a sintaxe exata pode variar ligeiramente consoante a versão do Looker). - Campos de seleção múltipla: para filtrar campos de seleção múltipla com painéis de controlo, referencie e use o valor JSON e a sintaxe adequada, que podem variar consoante as suas necessidades de filtragem (por exemplo, correspondência a qualquer ou a todos os valores selecionados).
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.