管理自定义字段

支持的平台:

本文档介绍了如何创建和管理自定义字段,以及如何将它们用于高级报告。管理员可以通过自定义字段向支持请求和提醒添加特定信息。 您可以使用自定义字段表单 widget 来整理这些自定义字段,该 widget 可定义问题和提醒的默认视图。然后,分析师可以根据自定义字段的配置范围,直接从问题和提醒的概览标签页中将信息输入到此 widget 中。

创建自定义字段

管理员最多可以创建 1,000 个自定义字段。自定义字段保存后,您便无法修改其范围类型名称。如需创建自定义字段,请执行以下操作:

  1. 前往 SOAR 设置 > 案例数据 > 自定义字段
  2. 点击 添加图标 添加以创建新的自定义字段。
  3. 选择范围,然后选择案例提醒全部(两者)。范围字段是必需的,自定义字段创建后便无法更改。
  4. 输入自定义字段名称名称字段是必需的,并且在创建自定义字段后无法更改。

  5. 在列表中,选择自定义字段类型

    • 自由文本:输入任意文本,最多 1,024 个字符。
    • 单选按钮:提供两个可供选择的可自定义选项。
    • 单选:包含单个可选选项的列表。 此类型最多支持 1,024 个字符,每个选项名称的字符数上限为 255。
    • 多选:包含多个可供选择的选项的列表。 此类型最多支持 1,024 个字符,每个选项名称的字符数上限为 255。
    • 日历:日期和时间字段。默认格式为 DD/MM/YYYY HH:MM:SS

  6. 点击保存

使用情形:使用自定义字段来增强防钓鱼能力

此使用情形概述了定义三个自定义字段(单选按钮、单选列表和日历)的步骤,以及如何将它们添加到自定义字段表单 widget。这些字段会向默认提醒视图添加更多信息,以丰富钓鱼式攻击提醒的内容。

定义“误报”自定义字段

  1. 范围部分,选择提醒
  2. 名称字段中,输入 False Positive
  3. 类型列表中,选择单选按钮
  4. 选项字段中,输入 True Positive(然后按 Enter 键),接着输入 False Positive(然后按 Enter 键)。
  5. 点击保存

定义“用户操作”自定义字段

  1. 点击添加以创建另一个新的自定义字段。
  2. 范围部分,选择提醒
  3. 名称字段中,输入 User Action
  4. 类型列表中,选择单选
  5. 选项字段中,输入 Clicked(然后按 Enter 键)、Reported(然后按 Enter 键),然后输入 Ignored(然后按 Enter 键)。
  6. 点击保存

定义“报告时间”自定义字段

  1. 点击添加以创建另一个新的自定义字段。
  2. 范围部分,选择提醒
  3. 名称字段中,输入 Report Time
  4. 类型列表中,选择日历
  5. 点击保存

向提醒级 widget 添加自定义字段

定义自定义字段后,将其添加到自定义字段表单微件中。 每个 widget 最多可包含 50 个自定义字段。以下步骤展示了如何将您之前创建的三个自定义字段添加到自定义字段表单 widget,以丰富默认的提醒视图。

  1. 依次前往 SOAR 设置 > 案例数据 > 视图 > 默认提醒视图。系统会打开默认提醒视图,其中包含可用的 widget。
  2. 常规标签页中,将自定义字段表单 widget 拖动到默认提醒视图
  3. 自定义字段表单 widget 中,依次点击 设置 配置以打开其设置。
  4. 微件标题字段中,输入 True or False Positive Alert
  5. 选择管理自定义字段
  6. 选中误报用户操作报告时间复选框,然后点击保存。系统会将这些自定义字段添加到自定义字段表单微件中。
  7. 点击强制切换开关。
  8. 选择保存以保存配置并关闭窗口。
  9. 点击 Save View

使用“自定义字段表单”微件

将自定义字段添加到自定义字段表单 widget 后,该 widget 会显示在案例和提醒的概览标签页中。然后,分析人员可以直接输入所需信息。在上一示例的基础上,按照以下步骤使用该 widget:

  1. 提醒概览标签页上,选择自定义字段 widget,然后点击 修改
  2. 填写三个自定义字段的相关信息:
    • 误报:选择单选按钮,指明相应提醒是 true 还是 false 阳性。
    • 用户操作:选择已点击已举报已忽略
    • 报告时间:选择报告提醒的日期。
  3. 点击保存

在剧本中使用自定义字段

您可以在 playbook 操作和占位符中使用您在此页面上定义的自定义字段。如需详细了解 playbook 操作,请参阅将 Siemplify 与 Google SecOps 集成

自定义字段的占位符

自定义字段位于自定义字段占位类别下。请使用以下格式设置这些占位符:

  • \[AlertCustom.{custom field name}\]
  • \[CaseCustom.{custom field name}\]

在高级报告中使用自定义字段

为支持请求创建的自定义字段可用于高级报告,以便更深入地了解数据。

注意:高级报告仅支持范围为“支持请求”的自定义字段。

在 Looker 中为单选值创建自定义字段

如需在 Looker 报告中引用单选自定义字段(例如 "Country"),请使用以下 LookML 公式作为计算字段:


    if(
      contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
      replace(
      replace(
      replace(
        if(position(
          replace(
            ${vw_cases_custom_values.custom_field_json},
            substring(
              ${vw_cases_custom_values.custom_field_json},
              0,
              ( position(
                ${vw_cases_custom_values.custom_field_json},
                "\"Country\":")
                +
                length("\"Country\":")
              )
            ),
            ""
          ),
          "\","
        )>0,

        substring(
          replace(
            ${vw_cases_custom_values.custom_field_json},
            substring(
              ${vw_cases_custom_values.custom_field_json},
              0,
              ( position(
                ${vw_cases_custom_values.custom_field_json},
                "\"Country\":")
                +
                length("\"Country\":")
              )
            ),
            ""
          ),
          0,
          position(
            replace(
              ${vw_cases_custom_values.custom_field_json},
              substring(
                ${vw_cases_custom_values.custom_field_json},
                0,
                ( position(
                  ${vw_cases_custom_values.custom_field_json},
                  "\"Country\":")
                  +
                  length("\"Country\":")
                )
              ),
              ""
            ),
            "\","
          )
        ),
        replace(
          ${vw_cases_custom_values.custom_field_json},
          substring(
            ${vw_cases_custom_values.custom_field_json},
            0,
            ( position(
              ${vw_cases_custom_values.custom_field_json},
              "\"Country\":")
              +
              length("\"Country\":")
            )
          ),
          ""
        )),
        " \"",
        ""
      ),
      "\"",
      ""
    ),
    "}",""),
    null
    )

在 Looker 中为多选值创建自定义字段

如需在 Looker 报告中引用多选自定义字段(例如 "Department"),请使用以下 LookML 公式作为计算字段:


    if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),

    substring(

    replace(
    replace(

    substring(${vw_cases_custom_values.custom_field_json},
    position(
    ${vw_cases_custom_values.custom_field_json},
    "\"Department\""),length(${vw_cases_custom_values.custom_field_json}))


    ,"\", \"Department\":\"",","),

    "\"Department\":\"","")


    ,0, position(replace(
    replace(

    substring(${vw_cases_custom_values.custom_field_json},
    position(
    ${vw_cases_custom_values.custom_field_json},
    "\"Department\""),length(${vw_cases_custom_values.custom_field_json}))


    ,"\", \"Department\":\"",","),

    "\"Department\":\"",""),"\"")-1)

    , null)

在 Looker 中过滤自定义字段

如需在 Looker 中有效地过滤自定义字段,您使用的方法取决于您处理的是 Look 还是信息中心。

在 Look 中过滤

如需在 Look 中过滤单选和多选自定义字段,您可以直接使用通过上述公式创建的自定义维度字段。

在信息中心内过滤

如需在信息中心内过滤自定义字段,您必须从探索中引用底层 JSON 值,并在过滤条件中使用相应的值,如下所示:

  • 单选字段:例如,如需过滤出国家/地区自定义字段为 China 的情形,请使用以下过滤条件:%"Country": "China"%(确切的语法可能会因 Looker 版本而略有不同)。
  • 多选字段:如需使用信息中心过滤多选字段,请引用并使用 JSON 值和相应语法,这些值和语法可能会因过滤需求而异(例如,匹配任何或所有选定值)。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。