Definire visualizzazioni di avvisi personalizzati dal Designer di playbook

Supportato in:

Questo documento spiega come creare visualizzazioni di avvisi personalizzate in ogni playbook per ruoli Google SecOps specifici. Le visualizzazioni degli avvisi personalizzate assicurano che ogni utente di Google SecOps possa visualizzare gli avvisi in base alle proprie esigenze specifiche. 

Le viste vengono create nel Designer di playbook e sono composte da vari widget che puoi trascinare e modificare per creare la vista richiesta in base ai risultati del playbook. Per una descrizione dettagliata di tutti i widget, vedi Visualizzazione avvisi predefinita.  

Creando visualizzazioni degli avvisi personalizzate, puoi decidere in anticipo quali informazioni mostrare ai diversi ruoli. Ad esempio, se hai un utente collaboratore e hai creato un ruolo Google SecOps per quell'utente chiamato Ruolo cliente Premium, puoi creare una visualizzazione che contenga solo le informazioni adatte al suo ruolo senza compromettere la sicurezza della tua organizzazione.

Se non definisci una visualizzazione per un ruolo Google SecOps specifico, gli utenti con quel ruolo vedranno la visualizzazione degli avvisi predefinita. 

La configurazione della visualizzazione degli avvisi personalizzata all'interno del designer di playbook può includere i seguenti widget:

  • Risultati JSON: visualizza un risultato JSON nel sistema.
  • Elementi in evidenza dell'entità: visualizza le entità associate all'avviso.
    • Se sei un cliente Google SecOps, fai clic su Esplora per essere reindirizzato alla pagina Asset dell'avviso per eseguire altre azioni. La pagina che visualizzi dipende dal tipo di entità. Per saperne di più, consulta Viste di indagine.
    • Se hai bisogno di informazioni più dettagliate prima di intraprendere un'azione, fai clic sull'entità per andare alla pagina Esplora entità e visualizzare tutti i dettagli.
    • Per dare un'occhiata rapida prima di intraprendere un'azione, fai clic su Visualizza dettagli e si aprirà un riquadro laterale con i punti salienti dell'entità.
    • Per eseguire un'azione specifica su un'entità, puoi fare clic su Impostazioni Impostazioni e creare un'azione manuale da qui.
  • Tabella eventi: visualizza tutti gli eventi di avviso e le relative proprietà. Fai clic su una delle righe della tabella per aprire un riquadro laterale e visualizzare i dettagli degli eventi.
  • HTML: visualizza il codice HTML che contiene informazioni pertinenti dai risultati del playbook.
  • Testo libero: visualizza le informazioni definite dall'amministratore.
  • Valore chiave: visualizza dettagli specifici provenienti da varie fonti e mostrali nella visualizzazione. Ad esempio: Chiave: Prodotto, Valore: [Alert.Product]
  • Grafico delle entità: visualizza un grafico e altri dettagli delle entità della richiesta. Fai clic su un'entità e si apre un riquadro laterale.
  • Approfondimenti: questo widget contiene tutti gli approfondimenti delle azioni corrispondenti del playbook, gli approfondimenti generali e qualsiasi altro approfondimento che hai aggiunto. (in formato HTML).
  • Azioni in attesa: visualizza rapidamente tutte le azioni in attesa del tuo input per mantenere in esecuzione il playbook.
  • Azioni rapide: questo widget fornisce agli analisti l'accesso immediato ad azioni pertinenti direttamente nel contesto dell'avviso. Per istruzioni dettagliate sulla configurazione delle Azioni rapide, inclusa la definizione di azioni e parametri, consulta Intervenire su una richiesta.

Creare una visualizzazione degli avvisi personalizzata 

Questo esempio mostra come creare una visualizzazione di avviso personalizzata in un'email di phishing per un ruolo di livello 1.

Per aggiungere una visualizzazione degli avvisi personalizzata:
  1. Vai alla scheda Panoramica dell'avviso.
  2. Nella pagina Playbook, vai al playbook Email di phishing e fai clic su Aggiungi visualizzazione.
  3. Inserisci un nome per il modello, scegli il ruolo richiesto e poi fai clic su Aggiungi; in questo caso, Tier One.
  4. Crea la tua visualizzazione personalizzata selezionando i widget che preferisci tra quelli disponibili. Trascina i widget selezionati nella visualizzazione e poi configurali in base ai tuoi requisiti.
  5. Aggiungi un widget Azioni in attesa.
  6. Aggiungi due widget Testo libero. Ne viene visualizzato uno se è presente un'azione di approvazione. Contiene il seguente segnaposto:
    [Case Outcome - Block approved .ScriptResult]
    L'altro widget viene visualizzato se il risultato non è approvato. [Case Outcome - Block not approved .ScriptResult]
  7. Aggiungi un altro widget Testo libero e assegnagli il nome Attack Details - Mitre. Contiene il seguente segnaposto: [Mitre Attack Details.ScriptResult].
  8. Aggiungi il widget In evidenza entità.
  9. Aggiungi un widget JSON e il seguente segnaposto: [Exchange_Search Mails_1.JsonResult].
  10. Aggiungi il widget HTML
  11. Una volta che l'avviso appropriato è stato inserito nel sistema e che il playbook è stato eseguito, l'utente con il ruolo di livello 1 può accedere alla piattaforma e visualizzare la Panoramica dell'avviso con i risultati del playbook.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.