Cómo definir vistas de alertas personalizadas desde el diseñador de guías

Compatible con:

En este documento, se explica cómo crear vistas de alertas personalizadas en cada guía para roles específicos de Google SecOps. Las vistas de alertas personalizadas garantizan que cada usuario de SecOps de Google pueda ver las alertas adaptadas a sus necesidades específicas. 

Las vistas se crean en el diseñador de guías y se componen de varios widgets que puedes arrastrar y editar para crear la vista requerida en función de los resultados de la guía. Para obtener una descripción detallada de todos los widgets, consulta Vista de alerta predeterminada.  

Si creas vistas de alertas personalizadas, puedes decidir con anticipación qué información deseas mostrar a los diferentes roles. Por ejemplo, si tienes un usuario colaborador y creaste un rol de Google SecOps para ese usuario llamado Rol de cliente premium, puedes crear una vista que contenga solo la información que se ajuste a su rol sin comprometer la seguridad de tu organización.

Si no defines una vista para un rol específico de Google SecOps, los usuarios con ese rol verán la vista de alertas predeterminada. 

La configuración personalizada de la vista de alerta en el diseñador de guías puede incluir los siguientes widgets:

  • Resultados en JSON: Consulta un resultado en JSON en el sistema.
  • Aspectos destacados de la entidad: Consulta las entidades asociadas con la alerta.
    • Si eres cliente de SecOps de Google, haz clic en Explorar para que se te redireccione a la página Activo de la alerta y puedas realizar más acciones. La página a la que accedes depende del tipo de entidad. Para obtener más información, consulta Vistas de investigación.
    • Si necesitas información más detallada antes de tomar medidas, haz clic en la entidad para ir a la página del Explorador de entidades y ver todos sus detalles.
    • Para echar un vistazo rápido antes de tomar medidas, haz clic en Ver detalles y se abrirá un panel lateral con los aspectos destacados de la entidad.
    • Para ejecutar una acción específica en una entidad, puedes hacer clic en configuración Configuración y crear una acción manual desde allí.
  • Tabla de eventos: Consulta todos los eventos de alerta y sus propiedades. Haz clic en cualquiera de las filas de la tabla para abrir un panel lateral y ver los detalles de los eventos.
  • HTML: Consulta el código HTML que contiene información relevante de los resultados de la guía.
  • Texto libre: Consulta la información definida por el administrador.
  • Key Value: Consulta detalles específicos de varias fuentes y muéstralos en la vista. Por ejemplo: Clave: Producto, Valor: [Alert.Product]
  • Gráfico de entidades: Consulta un gráfico visual y otros detalles de las entidades del caso. Haz clic en una entidad para abrir un panel lateral.
  • Estadísticas: Este widget contiene todas las estadísticas de las acciones correspondientes de la guía, las estadísticas generales y otras que hayas agregado. Se presentarán en formato HTML.
  • Acciones pendientes: Consulta rápidamente todas las acciones que esperan tu entrada para que la guía siga ejecutándose.
  • Acciones rápidas: Este widget proporciona a los analistas acceso inmediato a acciones relevantes directamente en el contexto de la alerta. Para obtener instrucciones detalladas sobre cómo configurar las acciones rápidas, incluida la definición de acciones y parámetros, consulta Cómo realizar acciones en un caso.

Crea una vista de alerta personalizada 

En este ejemplo, se muestra cómo crear una vista de alerta personalizada en un correo electrónico de phishing para un rol de nivel 1.

Para agregar una vista de alerta personalizada, haz lo siguiente:
  1. Ve a la pestaña Descripción general de la alerta.
  2. En la página Playbooks, ve a la guía Phishing Email y haz clic en Add View.
  3. Ingresa un nombre para la plantilla, elige el rol requerido y, luego, haz clic en Agregar (en este caso, Nivel uno).
  4. Para crear tu vista personalizada, selecciona los siguientes widgets. Arrastra los widgets seleccionados a la vista y, luego, configúralos según tus requisitos.
  5. Agrega un widget de Acciones pendientes.
  6. Agrega dos widgets de Free Text. Se muestra uno si hay una acción de aprobación. Contiene el siguiente marcador de posición:
    [Case Outcome - Block approved .ScriptResult]
    El otro widget aparece si el resultado no se aprueba. [Case Outcome - Block not approved .ScriptResult]
  7. Agrega otro widget de Texto libre y asígnale el nombre Attack Details - Mitre. Contiene el siguiente marcador de posición: [Mitre Attack Details.ScriptResult].
  8. Agrega el widget Resúmenes de entidades.
  9. Agrega un widget JSON y el siguiente marcador de posición: [Exchange_Search Mails_1.JsonResult].
  10. Agrega el widget HTML
  11. Una vez que la alerta adecuada se haya incorporado al sistema y se haya ejecutado el manual, el usuario con el rol de nivel uno puede ingresar a la plataforma y ver el Resumen de la alerta con los resultados del manual.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.