Définir des vues d'alertes personnalisées à partir du Créateur de playbook

Compatible avec :

Ce document explique comment créer des vues d'alertes personnalisées sur chaque playbook pour des rôles Google SecOps spécifiques. Les vues d'alertes personnalisées permettent à chaque utilisateur Google SecOps de voir les alertes adaptées à ses besoins spécifiques. 

Vous créez les vues dans le créateur de playbook. Elles sont composées de différents widgets que vous pouvez faire glisser et modifier pour créer la vue requise en fonction des résultats du playbook. Pour obtenir une description détaillée de tous les widgets, consultez Vue des alertes par défaut.  

En créant des vues d'alerte personnalisées, vous pouvez décider à l'avance des informations que vous souhaitez afficher pour différents rôles. Par exemple, si vous avez un utilisateur collaborateur et que vous avez créé un rôle Google SecOps pour cet utilisateur appelé Premium Customer Role, vous pouvez ensuite créer une vue qui ne contient que les informations correspondant à son rôle, sans compromettre la sécurité de votre organisation.

Si vous ne définissez pas de vue pour un rôle Google SecOps spécifique, les utilisateurs disposant de ce rôle verront la vue des alertes par défaut. 

La configuration personnalisée de la vue des alertes dans le concepteur de playbooks peut inclure les widgets suivants :

  • Résultats JSON : affichez un résultat JSON dans le système.
  • Informations sur l'entité : affichez les entités associées à l'alerte.
    • Si vous êtes client Google SecOps, cliquez sur Explorer pour être redirigé vers la page Asset (Ressource) de l'alerte et effectuer d'autres actions. La page sur laquelle vous êtes redirigé dépend du type d'entité. Pour en savoir plus, consultez Vues d'investigation.
    • Si vous avez besoin d'informations plus détaillées avant d'agir, cliquez sur l'entité pour accéder à la page de l'explorateur d'entités et afficher tous ses détails.
    • Pour obtenir un aperçu rapide avant d'effectuer une action, cliquez sur Afficher les détails. Un panneau latéral s'ouvre alors et affiche les points clés de l'entité.
    • Pour exécuter une action spécifique sur une entité, vous pouvez cliquer sur paramètres Paramètres et créer une action manuelle à partir de là.
  • Tableau des événements : affichez tous les événements d'alerte et leurs propriétés. Cliquez sur l'une des lignes du tableau pour ouvrir un tiroir latéral et afficher les détails des événements.
  • HTML : affichez le code HTML contenant les informations pertinentes des résultats du playbook.
  • Texte libre : affichez les informations définies par l'administrateur.
  • Clé-valeur : affichez des informations spécifiques provenant de différentes sources. Par exemple : Clé : Valeur du produit : [Alert.Product]
  • Graphique des entités : affichez un graphique et d'autres informations sur les entités du cas. Cliquez sur une entité pour ouvrir un panneau latéral.
  • Insights : ce widget contient tous les insights liés aux actions du playbook, des insights généraux et tous les autres insights que vous avez ajoutés. (au format HTML).
  • Actions en attente : affichez rapidement toutes les actions en attente de votre saisie pour que le playbook continue de s'exécuter.
  • Actions rapides : ce widget permet aux analystes d'accéder immédiatement aux actions pertinentes directement dans le contexte de l'alerte. Pour obtenir des instructions détaillées sur la configuration des actions rapides, y compris la définition des actions et des paramètres, consultez Effectuer des actions sur une demande.

Créer une vue d'alerte personnalisée 

Cet exemple montre comment créer une vue d'alerte personnalisée sur un e-mail de phishing pour un rôle de niveau 1.

Pour ajouter une vue d'alerte personnalisée :
  1. Accédez à l'onglet Aperçu de l'alerte.
  2. Sur la page Playbooks, accédez au playbook E-mail de phishing, puis cliquez sur Ajouter une vue.
  3. Saisissez un nom de modèle, choisissez le rôle requis, puis cliquez sur Ajouter (dans ce cas, Niveau 1).
  4. Créez votre vue personnalisée en sélectionnant les widgets suivants. Faites glisser les widgets sélectionnés dans la vue, puis configurez-les selon vos besoins.
  5. Ajoutez un widget Actions en attente.
  6. Ajoutez deux widgets Texte libre. Une action d'approbation s'affiche, le cas échéant. Il contient l'espace réservé suivant :
    [Case Outcome - Block approved .ScriptResult]
    L'autre widget s'affiche si le résultat n'est pas approuvé. [Case Outcome - Block not approved .ScriptResult]
  7. Ajoutez un autre widget Texte libre et nommez-le Attack Details - Mitre. Il contient l'espace réservé suivant : [Mitre Attack Details.ScriptResult].
  8. Ajoutez le widget Points forts des entités.
  9. Ajoutez un widget JSON, puis ajoutez l'espace réservé suivant : [Exchange_Search Mails_1.JsonResult].
  10. Ajoutez le widget HTML
  11. Une fois l'alerte appropriée ingérée dans le système et le playbook exécuté, l'utilisateur disposant du rôle de niveau 1 peut accéder à la plate-forme et consulter l'aperçu de l'alerte avec les résultats du playbook.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.