管理自訂欄位

支援的國家/地區:

本文說明如何建立及管理自訂欄位,以及如何將這些欄位用於進階報表。管理員可透過自訂欄位,在案件和快訊中新增特定資訊。 您可以使用「自訂欄位表單」小工具整理這些自訂欄位,這個小工具會定義案件和快訊的預設檢視畫面。然後,分析人員可以根據自訂欄位的設定範圍,直接從案件和快訊的「總覽」分頁標籤,將資訊輸入這個小工具。

建立自訂欄位

管理員最多可以建立 1,000 個自訂欄位。儲存自訂欄位後,就無法修改「範圍」、「類型」或「名稱」。如要建立自訂欄位,請按照下列步驟操作:

  1. 依序前往「SOAR 設定」>「案件資料」>「自訂欄位」
  2. 按一下「新增」新增,建立新的自訂欄位。
  3. 選取「範圍」,然後選取「案件」、「快訊」或「全部」 (兩者)。「範圍」欄位為必填,自訂欄位建立後即無法變更。
  4. 輸入自訂欄位的名稱。「名稱」欄位為必填欄位,自訂欄位建立後即無法變更。

  5. 在清單中選取自訂欄位「類型」

    • 任意文字:輸入任何文字,最多 1,024 個字元。
    • 圓形按鈕:提供兩個可自訂的選項供選取。
    • 單選:清單,只能選取一個選項。 這類選項最多可包含 1,024 個半形字元,每個選項名稱的長度上限為 255 個半形字元。
    • 複選:可從清單中選取多個選項。 這類選項最多可包含 1,024 個半形字元,每個選項名稱的長度上限為 255 個半形字元。
    • 日曆:日期和時間欄位。預設格式為 DD/MM/YYYY HH:MM:SS

  6. 按一下 [儲存]

用途:使用自訂欄位提升網路釣魚防護力

本使用案例將說明如何定義三個自訂欄位:單選按鈕、單選清單和日曆,以及如何將這些欄位新增至「自訂欄位表單」小工具。這些欄位會為網路釣魚警示提供額外資訊,豐富預設警示檢視畫面。

定義「誤判」自訂欄位

  1. 在「範圍」部分,選取「快訊」
  2. 在「Name」(名稱) 欄位中輸入 False Positive
  3. 在「Type」(類型) 清單中,選取「Radio Button」(單選按鈕)
  4. 在「Options」(選項) 欄位中輸入 True Positive (然後按 Enter 鍵),接著輸入 False Positive (然後按 Enter 鍵)。
  5. 按一下 [儲存]

定義「使用者動作」自訂欄位

  1. 按一下「新增」,即可建立另一個新的自訂欄位。
  2. 在「範圍」部分,選取「快訊」
  3. 在「Name」(名稱) 欄位中,輸入「User Action」(使用者動作)
  4. 在「Type」(類型) 清單中,選取「Single Select」(單選)
  5. 在「選項」欄位中,依序輸入 Clicked (然後按 Enter 鍵)、Reported (然後按 Enter 鍵) 和 Ignored (然後按 Enter 鍵)。
  6. 按一下 [儲存]

定義「報表時間」自訂欄位

  1. 按一下「新增」,即可建立另一個新的自訂欄位。
  2. 在「範圍」部分,選取「快訊」
  3. 在「Name」(名稱) 欄位中輸入 Report Time
  4. 在「Type」(類型) 清單中,選取「Calendar」(日曆)
  5. 按一下 [儲存]

在警報層級小工具中新增自訂欄位

定義自訂欄位後,請將這些欄位新增至「自訂欄位表單」小工具。 每個小工具最多可包含 50 個自訂欄位。下列步驟說明如何將先前建立的三個自訂欄位新增至「自訂欄位表單」小工具,以擴充預設快訊檢視畫面。

  1. 依序前往「SOAR 設定」>「案件資料」>「檢視畫面」>「預設快訊檢視畫面」。「預設快訊檢視畫面」隨即開啟,並顯示可用的小工具。
  2. 在「一般」分頁中,將「自訂欄位表單」小工具拖曳至「預設快訊檢視」
  3. 在「自訂欄位表單」小工具中,依序點選「設定」 「設定」,開啟設定。
  4. 在「Widget Title」(小工具標題) 欄位中輸入 True or False Positive Alert
  5. 選取「管理自訂欄位」
  6. 選取「誤判」、「使用者動作」和「回報時間」核取方塊,然後按一下「儲存」。系統會將這些自訂欄位新增至「自訂欄位表單」小工具。
  7. 按一下「必填」切換按鈕。
  8. 選取「儲存」以儲存設定,然後關閉視窗。
  9. 按一下 [Save View] (儲存視圖)

使用「自訂欄位表單」小工具

將自訂欄位新增至「自訂欄位表單」小工具後,這些欄位會顯示在案件和警告的「總覽」分頁中。分析師隨即可以直接輸入必要資訊。以上述範例為基礎,請按照下列步驟使用小工具:

  1. 在「快訊總覽」分頁中,選取「自訂欄位」小工具,然後按一下「編輯」圖示
  2. 填寫三個自訂欄位的相關資訊:
    • 誤判:選取圓形按鈕,指出快訊是 truefalse 誤判。
    • 使用者動作:選取「已點按」、「已檢舉」或「已忽略」
    • 回報時間:選取回報快訊的日期。
  3. 按一下 [儲存]

在劇本中使用自訂欄位

您可以在應對手冊動作和預留位置中使用這個頁面定義的自訂欄位。 如要進一步瞭解劇本動作,請參閱「整合 Siemplify 與 Google SecOps」。

自訂欄位的預留位置

自訂欄位位於「自訂欄位」預留位置類別下方。這些預留位置的格式如下:

  • \[AlertCustom.{custom field name}\]
  • \[CaseCustom.{custom field name}\]

在進階報表中使用自訂欄位

您可以在進階報表中使用為案件建立的自訂欄位,進一步分析資料。

注意:進階報表僅支援「案件」範圍的自訂欄位。

在 Looker 中建立單選值自訂欄位

如要在 Looker 報表中參照單選自訂欄位 (例如 "Country"),請使用下列 LookML 公式做為計算欄位:


    if(
      contains(${vw_cases_custom_values.custom_field_json},"\"Country\":"),
      replace(
      replace(
      replace(
        if(position(
          replace(
            ${vw_cases_custom_values.custom_field_json},
            substring(
              ${vw_cases_custom_values.custom_field_json},
              0,
              ( position(
                ${vw_cases_custom_values.custom_field_json},
                "\"Country\":")
                +
                length("\"Country\":")
              )
            ),
            ""
          ),
          "\","
        )>0,

        substring(
          replace(
            ${vw_cases_custom_values.custom_field_json},
            substring(
              ${vw_cases_custom_values.custom_field_json},
              0,
              ( position(
                ${vw_cases_custom_values.custom_field_json},
                "\"Country\":")
                +
                length("\"Country\":")
              )
            ),
            ""
          ),
          0,
          position(
            replace(
              ${vw_cases_custom_values.custom_field_json},
              substring(
                ${vw_cases_custom_values.custom_field_json},
                0,
                ( position(
                  ${vw_cases_custom_values.custom_field_json},
                  "\"Country\":")
                  +
                  length("\"Country\":")
                )
              ),
              ""
            ),
            "\","
          )
        ),
        replace(
          ${vw_cases_custom_values.custom_field_json},
          substring(
            ${vw_cases_custom_values.custom_field_json},
            0,
            ( position(
              ${vw_cases_custom_values.custom_field_json},
              "\"Country\":")
              +
              length("\"Country\":")
            )
          ),
          ""
        )),
        " \"",
        ""
      ),
      "\"",
      ""
    ),
    "}",""),
    null
    )

在 Looker 中建立多選值自訂欄位

如要在 Looker 報表中參照多選自訂欄位 (例如 "Department"),請使用下列 LookML 公式做為計算結果欄位:


    if(contains(${vw_cases_custom_values.custom_field_json},"\"Department\""),

    substring(

    replace(
    replace(

    substring(${vw_cases_custom_values.custom_field_json},
    position(
    ${vw_cases_custom_values.custom_field_json},
    "\"Department\""),length(${vw_cases_custom_values.custom_field_json}))


    ,"\", \"Department\":\"",","),

    "\"Department\":\"","")


    ,0, position(replace(
    replace(

    substring(${vw_cases_custom_values.custom_field_json},
    position(
    ${vw_cases_custom_values.custom_field_json},
    "\"Department\""),length(${vw_cases_custom_values.custom_field_json}))


    ,"\", \"Department\":\"",","),

    "\"Department\":\"",""),"\"")-1)

    , null)

在 Looker 中篩選自訂欄位

如要在 Looker 中有效篩選自訂欄位,您使用的方法取決於處理的是 Look 還是資訊主頁。

在 Look 中篩選

如要在 Look 中篩選單選和多選自訂欄位,可以直接使用以先前公式建立的自訂維度欄位。

在資訊主頁上篩選

如要在資訊主頁上篩選自訂欄位,您必須從 Explore 參照基礎 JSON 值,並在篩選器中使用適當的值,如下所示:

  • 單選欄位:舉例來說,如要篩選出國家/地區自訂欄位為 China 的案件,請使用篩選條件 %"Country": "China"% (確切語法可能因 Looker 版本而略有不同)。
  • 多選欄位:如要使用資訊主頁篩選多選欄位,請參照並使用 JSON 值和適當的語法,這類語法會因篩選需求而異 (例如,比對任何或所有選取的值)。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。