Playbook Designer からカスタム アラートビューを定義する

以下でサポートされています。

このドキュメントでは、特定の Google SecOps ロールに対して、各プレイブックでカスタマイズされたアラートビューを作成する方法について説明します。カスタマイズされたアラート ビューにより、各 Google SecOps ユーザーは、特定のニーズに合わせて調整されたアラートを確認できます。 

ビューはハンドブック デザイナーで作成され、さまざまなウィジェットで構成されています。これらのウィジェットをドラッグして編集し、ハンドブックの結果に基づいて必要なビューを作成できます。すべてのウィジェットの詳細については、デフォルトのアラート ビューをご覧ください。 

カスタマイズされたアラートビューを作成することで、さまざまなロールに表示する情報を事前に決定できます。たとえば、コラボレーター ユーザーがいて、そのユーザー用に Premium Customer Role という Google SecOps ロールを作成した場合、組織のセキュリティを損なうことなく、そのロールに適合する情報のみを含むビューを作成できます。

特定の Google SecOps ロールのビューを定義しない場合、そのロールを持つユーザーにはデフォルトのアラートビューが表示されます。 

ハンドブック デザイナー内のカスタマイズされたアラートビューの構成には、次のウィジェットを含めることができます。

  • JSON の結果: システムで JSON の結果を表示します。
  • エンティティのハイライト: アラートに関連付けられているエンティティを表示します。
    • Google SecOps をご利用の場合は、[探索] をクリックしてアラートの [アセット] ページにリダイレクトし、その他の操作を行います。アクセスするページはエンティティのタイプによって異なります。詳細については、調査ビューをご覧ください。
    • アクションを実行する前に詳細な情報を確認する必要がある場合は、エンティティをクリックして エンティティ エクスプローラ ページに移動し、詳細を確認します。
    • アクションを実行する前に概要を確認するには、[詳細を表示] をクリックします。エンティティのハイライトを含むサイド ドロワーが開きます。
    • エンティティに対して特定のアクションを実行するには、[ 設定 ] 設定 をクリックして、ここから手動アクションを作成します。
  • イベント テーブル: すべてのアラート イベントとそのプロパティを表示します。表の行をクリックすると、サイド ドロワーが開き、イベントの詳細が表示されます。
  • HTML: プレイブックの結果から関連情報を含む HTML コードを表示します。
  • Free Text(自由テキスト): 管理者が定義した情報を表示します。
  • Key Value: さまざまなソースから特定の詳細情報を表示します。例: キー - 商品、値 - [Alert.Product]
  • エンティティ グラフ: グラフとその他のケース エンティティの詳細を表示します。エンティティをクリックすると、サイドドロワーが開きます。
  • 分析情報: このウィジェットには、ハンドブックの分析情報アクション、一般的な分析情報、ユーザーが追加したその他の分析情報のすべてが含まれます。HTML 形式で表示されます。
  • 保留中のアクション: ハンドブックの実行を継続するために必要な入力を待機しているアクションをすべてすばやく確認できます。
  • クイック アクション: このウィジェットを使用すると、アナリストはアラートのコンテキスト内で関連するアクションに直接アクセスできます。アクションとパラメータの定義など、クイック アクションの構成に関する詳細な手順については、ケースに対するアクションの実行をご覧ください。

カスタマイズされたアラート ビューを作成する

この例では、Tier 1 ロールのフィッシング メールにカスタマイズされたアラート ビューを作成する方法を示します。

カスタマイズされたアラート ビューを追加する手順は次のとおりです。
  1. アラートの [概要] タブに移動します。
  2. [ハンドブック] ページで、[フィッシング メール] ハンドブックに移動し、[ビューを追加] をクリックします。
  3. テンプレート名を入力し、必要なロールを選択して、[追加](この場合は [Tier One])をクリックします。
  4. 次のウィジェットから選択して、カスタマイズしたビューを作成します。選択したウィジェットをビューにドラッグし、要件に応じて構成します。
  5. [保留中のアクション] ウィジェットを追加します。
  6. 自由テキスト ウィジェットを 2 つ追加します。承認アクションがある場合は、1 つ表示されます。これには、次のプレースホルダが含まれます。
    [Case Outcome - Block approved .ScriptResult]
    結果が承認されなかった場合、別のウィジェットが表示されます。[Case Outcome - Block not approved .ScriptResult]
  7. 別の自由形式テキスト ウィジェットを追加し、Attack Details - Mitre という名前を付けます。これには、プレースホルダ [Mitre Attack Details.ScriptResult] が含まれます。
  8. [エンティティのハイライト] ウィジェットを追加します。
  9. JSON ウィジェットを追加し、次のプレースホルダを追加します。 [Exchange_Search Mails_1.JsonResult]
  10. HTML ウィジェットを追加します。 
  11. 適切なアラートがシステムに取り込まれ、プレイブックが実行されると、Tier 1 ロールのユーザーはプラットフォームにアクセスして、プレイブックの結果を含むアラートの [概要] を確認できます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。