Gerenciar campos personalizados
Neste documento, descrevemos como criar e gerenciar campos personalizados e como usá-los para relatórios avançados. Com os campos personalizados, os administradores podem adicionar informações específicas a casos e alertas. É possível organizar esses campos personalizados usando um widget Formulário de campos personalizados, que define as visualizações padrão para casos e alertas. Em seguida, os analistas podem inserir informações diretamente nesse widget na guia Visão geral de casos e alertas, com base no escopo configurado do campo personalizado.
Criar um campo personalizado
Os administradores podem criar até mil campos personalizados. Depois que um campo personalizado é salvo, não é possível modificar o Escopo, o Tipo ou o Nome. Para criar um campo personalizado, faça o seguinte:
- Acesse Configurações do SOAR > Dados de caso > Campos personalizados.
- Clique em Adicionar Adicionar para criar um campo personalizado.
- Selecione Escopo e escolha Caso, Alerta ou Todos (ambos). O campo Escopo é obrigatório e não pode ser alterado depois que o campo personalizado é criado.
- Insira um Nome de campo personalizado. O campo Nome é obrigatório e não pode ser alterado depois que o campo personalizado é criado.
Na lista, selecione um Tipo de campo personalizado:
- Texto livre: insira qualquer texto com até 1.024 caracteres.
- Botão de opção: oferece duas opções personalizáveis para seleção.
- Seleção única: lista com uma única opção para selecionar. Esse tipo aceita um máximo de 1.024 caracteres, com cada nome de opção limitado a 255 caracteres.
- Seleção múltipla: lista com várias opções para selecionar. Esse tipo aceita um máximo de 1.024 caracteres, com cada nome de opção limitado a 255 caracteres.
- Agenda: um campo de data e hora. O formato padrão é
DD/MM/YYYY HH:MM:SS.
Clique em Salvar.
Caso de uso: usar campos personalizados para aumentar a resistência a phishing
Este caso de uso descreve as etapas para definir três campos personalizados: um botão de opção, uma lista de seleção única e um calendário, além de como adicioná-los ao widget Formulário de campo personalizado. Esses campos enriquecem a visualização de alerta padrão com mais informações sobre alertas de phishing.
Definir o campo personalizado "Falso positivo"
- Em Escopo, selecione Alerta.
- No campo Nome, use
False Positive. - Na lista Tipo, selecione Botão de opção.
- No campo Opções, digite
True Positive(pressione Enter) eFalse Positive(pressione Enter). - Clique em Salvar.
Definir o campo personalizado "Ação do usuário"
- Clique em Adicionar para criar outro campo personalizado.
- Em Escopo, selecione Alerta.
- No campo Nome, insira Ação do usuário.
- Na lista Tipo, selecione Seleção única.
- No campo Opções, digite
Clicked(pressione Enter),Reported(pressione Enter) eIgnored(pressione Enter). - Clique em Salvar.
Definir o campo personalizado "Tempo do relatório"
- Clique em Adicionar para criar outro campo personalizado.
- Em Escopo, selecione Alerta.
- No campo Nome, use
Report Time. - Na lista Tipo, selecione Agenda.
- Clique em Salvar.
Adicionar campos personalizados ao widget de nível de alerta
Depois de definir os campos personalizados, adicione-os ao widget Formulário de campos personalizados. Cada widget pode ter até 50 campos personalizados. As etapas a seguir mostram como adicionar os três campos personalizados criados anteriormente ao widget Formulário de campos personalizados para enriquecer a visualização de alerta padrão.
- Acesse Configurações do SOAR > Dados de caso > Visualizações > Visualização de alerta padrão. A Visualização de alerta padrão é aberta com os widgets disponíveis.
- Na guia Geral, arraste o widget Formulário de campos personalizados para a Visualização de alerta padrão.
- No widget Formulário de campos personalizados, clique em Configurações Configuração para abrir as configurações.
- No campo Título do widget, insira
True or False Positive Alert. - Selecione Gerenciar campos personalizados.
- Marque as caixas de seleção Falso positivo, Ação do usuário e Horário do relatório e clique em Salvar. O sistema adiciona esses campos personalizados ao widget Formulário de campos personalizados.
- Clique no botão Obrigatório.
- Selecione Salvar para salvar a configuração e fechar a janela.
- Clique em Salvar visualização.
Usar o widget "Formulário de campos personalizados"
Depois de adicionar campos personalizados ao widget Formulário de campos personalizados, ele aparece na guia Visão geral de casos e alertas. Os analistas podem inserir as informações necessárias diretamente. Com base no exemplo anterior, siga estas etapas para usar o widget:
- Na guia Visão geral de alertas, selecione o widget Campos personalizados e clique em Editar.
- Preencha as informações relevantes para os três campos personalizados:
- Falso positivo: selecione o botão de opção para indicar se o alerta é um positivo
trueoufalse. - Ação do usuário: selecione Clicado, Denunciado ou Ignorado.
- Horário da denúncia: selecione a data em que o alerta foi denunciado.
- Falso positivo: selecione o botão de opção para indicar se o alerta é um positivo
- Clique em Salvar.
Usar campos personalizados em playbooks
É possível usar os campos personalizados definidos nesta página como parte das ações e marcadores de posição do playbook. Para mais informações sobre ações de playbook, consulte Integrar o Siemplify ao Google SecOps.
Substitutos para campos personalizados
Os campos personalizados estão disponíveis na categoria de marcador de posição Campos personalizados. Use o seguinte formato para esses marcadores de posição:
\[AlertCustom.{custom field name}\]\[CaseCustom.{custom field name}\]
Usar campos personalizados em relatórios avançados
Os campos personalizados criados para casos podem ser usados em relatórios avançados para gerar insights mais detalhados dos seus dados.
Observação:os relatórios avançados só são compatíveis com campos personalizados que têm um escopo de Caso.
Criar campos personalizados para valores de seleção única no Looker
Para referenciar um campo personalizado de seleção única (por exemplo, "Country") em um relatório do Looker, use a seguinte fórmula da LookML como um campo calculado:
if(
contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
replace(
replace(
replace(
if(position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)>0,
substring(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
0,
position(
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
),
"\","
)
),
replace(
${vw_cases_custom_values.custom_field_json},
substring(
${vw_cases_custom_values.custom_field_json},
0,
( position(
${vw_cases_custom_values.custom_field_json},
"\"Country\":")
+
length("\"Country\":")
)
),
""
)),
" \"",
""
),
"\"",
""
),
"}",""),
null
)
Criar campos personalizados para valores de seleção múltipla no Looker
Para referenciar um campo personalizado de seleção múltipla (por exemplo, "Department") em um relatório do Looker, use a seguinte fórmula da LookML como um campo calculado:
if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),
substring(
replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"","")
,0, position(replace(
replace(
substring(${vw_cases_custom_values.custom_field_json},
position(
${vw_cases_custom_values.custom_field_json},
"\"Department\""),length(${vw_cases_custom_values.custom_field_json}))
,"\", \"Department\":\"",","),
"\"Department\":\"",""),"\"")-1)
, null)
Filtrar campos personalizados no Looker
Para filtrar campos personalizados de maneira eficaz no Looker, o método usado depende de você estar trabalhando com um Look ou um painel.
Filtrar em uma análise detalhada
Para filtrar campos personalizados de seleção única e múltipla em um Look, use diretamente o campo de dimensão personalizada criado com as fórmulas anteriores.
Filtrar nos painéis
Para filtrar campos personalizados nos painéis, é necessário referenciar o valor JSON subjacente em Análise detalhada e usar os valores adequados no filtro, da seguinte maneira:
- Campos de seleção única:por exemplo, para filtrar casos em que o campo personalizado País é
China, use a condição de filtro:%"Country": "China"%. A sintaxe exata pode variar um pouco dependendo da versão do Looker. - Campos de múltipla seleção:para filtrar campos de múltipla seleção com painéis, consulte e use o valor JSON e a sintaxe apropriada, que podem variar de acordo com suas necessidades de filtragem (por exemplo, correspondência com todos ou qualquer um dos valores selecionados).
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.