Defina vistas de alertas personalizadas a partir do Designer de guias interativos

Suportado em:

Este documento explica como criar vistas de alertas personalizadas em cada manual de procedimentos para funções específicas do Google SecOps. As visualizações de alertas personalizadas garantem que cada utilizador do Google SecOps pode ver os alertas adaptados às suas necessidades específicas. 

Cria as vistas no criador de guias interativos e são compostas por vários widgets que pode arrastar e editar para criar a vista necessária com base nos resultados do guia interativo. Para uma descrição detalhada de todos os widgets, consulte o artigo Vista de alerta predefinida.  

Ao criar visualizações de alertas personalizadas, pode decidir antecipadamente que informações quer apresentar a diferentes funções. Por exemplo, se tiver um utilizador colaborador e tiver criado uma função do Google SecOps para esse utilizador denominada Função de cliente premium, pode criar uma vista que contenha apenas as informações adequadas à respetiva função sem comprometer a segurança da sua organização.

Se não definir uma vista para uma função específica do Google SecOps, os utilizadores com essa função veem a vista de alertas predefinida. 

A configuração da vista de alerta personalizada no criador de manuais de soluções pode incluir os seguintes widgets:

  • Resultados JSON: veja um resultado JSON no sistema.
  • Realces de entidades: veja as entidades associadas ao alerta.
    • Se for cliente do Google SecOps unificado, clique em Explorar para ser redirecionado para a página Recurso de alerta para realizar mais ações. A página na qual acede depende do tipo de entidade. Para mais informações, consulte o artigo Vistas de investigação.
    • Se precisar de informações mais detalhadas antes de tomar medidas, clique na entidade para aceder à página do Explorador de entidades e ver os respetivos detalhes completos.
    • Para ver rapidamente antes de tomar medidas, clique em Ver detalhes. É aberto um painel lateral com os destaques da entidade.
    • Para executar uma ação específica numa entidade, pode clicar em definições Definições e criar uma ação manual a partir daqui.
  • Tabela de eventos: veja todos os eventos de alerta e as respetivas propriedades. Clique em qualquer uma das linhas da tabela para abrir um painel lateral e ver os detalhes dos eventos.
  • HTML: veja o código HTML que contém informações relevantes dos resultados do manual de soluções.
  • Texto livre: veja informações definidas pelo administrador.
  • Chave-valor: veja detalhes específicos de várias origens e apresente-os na vista. Por exemplo: chave: produto; valor: [Alert.Product]
  • Gráfico de entidades: veja um gráfico visual e outros detalhes da entidade do registo. Clique numa entidade para abrir uma gaveta lateral.
  • Estatísticas: este widget contém todas as estatísticas das ações de estatísticas do Playbook, estatísticas gerais e quaisquer outras estatísticas que tenha adicionado. São apresentados em formato HTML.
  • Ações pendentes: veja rapidamente todas as ações que aguardam a sua entrada para manter o manual em funcionamento.
  • Ações rápidas: este widget oferece aos analistas acesso imediato a ações relevantes diretamente no contexto do alerta. Para ver instruções detalhadas sobre a configuração de ações rápidas, incluindo a definição de ações e parâmetros, consulte o artigo Tome medidas num registo.
  • Vista geral das regras: disponível apenas para utilizadores da plataforma unificada do Google SecOps. Este widget fornece informações sobre a regra personalizada ou organizada associada a um alerta, incluindo um botão Ver detalhes que abre uma barra lateral de vista geral das regras com informações abrangentes sobre as regras, incluindo detalhes das regras (nome, descrição, estado, gravidade, etiquetas MITRE) e código da regra YARA-L. Também inclui um link simples para gerir a regra no [separador Deteções organizadas](/chronicle/docs/detection/use-curated-detections)

Crie uma vista de alertas personalizada 

Este exemplo mostra como criar uma vista de alerta personalizada num email de phishing para uma função de nível 1.

Para adicionar uma vista de alertas personalizada, faça o seguinte:
  1. Aceda ao separador Vista geral do alerta.
  2. Na página Playbooks, aceda ao playbook Phishing Email e clique em Adicionar vista.
  3. Introduza um nome para o modelo, escolha a função necessária e, de seguida, clique em Adicionar; neste caso, Nível um.
  4. Selecione os seguintes widgets para criar a sua vista personalizada. Arraste os widgets selecionados para a vista e, em seguida, configure-os de acordo com os seus requisitos.
  5. Adicione um widget Ações pendentes.
  6. Adicione dois widgets de Texto livre. É apresentado um, se existir uma ação de aprovação. Este contém o seguinte marcador de posição:
    [Case Outcome - Block approved .ScriptResult]
    O outro widget é apresentado se o resultado não for aprovado. [Case Outcome - Block not approved .ScriptResult]
  7. Adicione outro widget Texto livre e atribua-lhe o nome Attack Details - Mitre. Este contém o seguinte marcador de posição: [Mitre Attack Details.ScriptResult].
  8. Adicione o widget Realces de entidades.
  9. Adicione um widget JSON e adicione o seguinte marcador de posição: [Exchange_Search Mails_1.JsonResult].
  10. Adicione o widget HTML
  11. Assim que o alerta adequado for carregado no sistema e o guia interativo for executado, o utilizador com a função de nível 1 pode aceder à plataforma e ver a vista geral do alerta com os resultados do guia interativo.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.