Definir vistas de alertas personalizadas en el diseñador de guías

Disponible en:

En este documento se explica cómo crear vistas de alertas personalizadas en cada guía para roles específicos de Google SecOps. Las vistas de alertas personalizadas permiten que cada usuario de Google SecOps vea las alertas adaptadas a sus necesidades específicas. 

Las vistas se crean en el diseñador de guías y se componen de varios widgets que puedes arrastrar y editar para crear la vista que necesites en función de los resultados de la guía. Para ver una descripción detallada de todos los widgets, consulta el artículo Vista de alertas predeterminada.  

Si crea vistas de alertas personalizadas, puede decidir de antemano qué información quiere mostrar a los distintos roles. Por ejemplo, si tienes un usuario colaborador y has creado un rol de Google SecOps para ese usuario llamado Rol de cliente premium, puedes crear una vista que contenga solo la información que se ajuste a su rol sin poner en riesgo la seguridad de tu organización.

Si no define una vista para un rol de Google SecOps específico, los usuarios con ese rol verán la vista de alertas predeterminada. 

La configuración de la vista de alerta personalizada en el diseñador de guías puede incluir los siguientes widgets:

  • Resultados en JSON: consulta un resultado en JSON en el sistema.
  • Aspectos destacados de la entidad: consulta las entidades asociadas a la alerta.
    • Si eres cliente de Google SecOps, haz clic en Explorar para que se te redirija a la página Recurso de la alerta y puedas realizar más acciones. La página a la que se te redirige depende del tipo de entidad. Para obtener más información, consulta Vistas de investigación.
    • Si necesitas información más detallada antes de tomar medidas, haz clic en la entidad para ir a la página Explorador de entidades y ver todos sus detalles.
    • Para echar un vistazo rápido antes de tomar medidas, haz clic en Ver detalles. Se abrirá un panel lateral con los aspectos destacados de la entidad.
    • Para ejecutar una acción específica en una entidad, puedes hacer clic en configuración Configuración y crear una acción manual desde ahí.
  • Tabla de eventos: consulta todos los eventos de alertas y sus propiedades. Haz clic en cualquiera de las filas de la tabla para abrir un panel lateral con los detalles de los eventos.
  • HTML: consulta el código HTML que contiene información relevante de los resultados de la guía.
  • Texto libre: consulta la información definida por el administrador.
  • Par clave-valor: consulta detalles específicos de varias fuentes y muéstralos en la vista. Por ejemplo: Clave: Producto. Valor: [Alert.Product].
  • Gráfico de entidades: consulta un gráfico visual y otros detalles de las entidades de caso. Haz clic en una entidad para que se abra un panel lateral.
  • Estadísticas: este widget contiene todas las estadísticas de las acciones de la guía, estadísticas generales y cualquier otra estadística que hayas añadido. Se presentarán en formato HTML.
  • Acciones pendientes: consulta rápidamente todas las acciones que requieren tu intervención para que la guía siga funcionando.
  • Acciones rápidas: este widget proporciona a los analistas acceso inmediato a acciones relevantes directamente en el contexto de la alerta. Para obtener instrucciones detalladas sobre cómo configurar las acciones rápidas, incluidas las acciones y los parámetros, consulta el artículo Realizar acciones en un caso.

Crear una vista de alerta personalizada 

En este ejemplo se muestra cómo crear una vista de alerta personalizada en un correo de phishing para un rol de nivel 1.

Para añadir una vista de alerta personalizada, siga estos pasos:
  1. Ve a la pestaña Resumen de la alerta.
  2. En la página Playbooks (Libros de jugadas), ve al libro de jugadas Phishing Email (Correo de phishing) y haz clic en Add View (Añadir vista).
  3. Introduce el nombre de la plantilla, elige el rol necesario y haz clic en Añadir. En este caso, Nivel 1.
  4. Crea tu vista personalizada seleccionando los siguientes widgets. Arrastra los widgets seleccionados a la vista y configúralos según tus necesidades.
  5. Añade un widget Acciones pendientes.
  6. Añade dos widgets Texto libre. Se muestra una si hay una acción de aprobación. Contiene el siguiente marcador de posición:
    [Case Outcome - Block approved .ScriptResult]
    El otro widget aparece si el resultado no se aprueba. [Case Outcome - Block not approved .ScriptResult]
  7. Añade otro widget Texto libre y asígnale el nombre Attack Details - Mitre. Contiene la siguiente marca de posición: [Mitre Attack Details.ScriptResult].
  8. Añade el widget Destacados de entidades.
  9. Añade un widget JSON y el siguiente marcador de posición: [Exchange_Search Mails_1.JsonResult].
  10. Añade el widget HTML
  11. Una vez que se haya insertado la alerta adecuada en el sistema y se haya ejecutado el manual de procedimientos, el usuario con el rol de nivel 1 podrá acceder a la plataforma y ver la vista general de la alerta con los resultados del manual de procedimientos.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.