Playbook Designer에서 맞춤 알림 뷰 정의

다음에서 지원:

이 문서에서는 특정 Google SecOps 역할에 대해 각 플레이북에서 맞춤 알림 뷰를 만드는 방법을 설명합니다. 맞춤설정된 알림 뷰를 사용하면 각 Google SecOps 사용자가 자신의 특정 요구사항에 맞게 맞춤설정된 알림을 확인할 수 있습니다. 

플레이북 디자이너에서 뷰를 만들며, 뷰는 플레이북 결과를 기반으로 필요한 뷰를 만들기 위해 드래그하고 수정할 수 있는 다양한 위젯으로 구성됩니다. 모든 위젯에 대한 자세한 설명은 기본 알림 보기를 참고하세요.  

맞춤 알림 뷰를 만들면 다양한 역할에 표시할 정보를 미리 결정할 수 있습니다. 예를 들어 공동작업자 사용자가 있고 해당 사용자를 위해 Premium Customer Role이라는 Google SecOps 역할을 만든 경우 조직의 보안을 침해하지 않고 해당 역할에 맞는 정보만 포함하는 뷰를 빌드할 수 있습니다.

특정 Google SecOps 역할의 보기를 정의하지 않으면 해당 역할이 있는 사용자에게 기본 알림 보기가 표시됩니다. 

Playbook Designer 내의 맞춤설정된 알림 뷰 구성에는 다음 위젯이 포함될 수 있습니다.

  • JSON 결과: 시스템에서 JSON 결과를 확인합니다.
  • 엔티티 하이라이트: 알림과 연결된 엔티티를 확인합니다.
    • Google SecOps 고객인 경우 탐색을 클릭하여 알림 애셋 페이지로 리디렉션하여 추가 작업을 실행할 수 있습니다. 방문하는 페이지는 항목 유형에 따라 다릅니다. 자세한 내용은 조사 보기를 참고하세요.
    • 조치를 취하기 전에 자세한 정보가 필요한 경우 항목을 클릭하여 항목 탐색기 페이지로 이동하여 전체 세부정보를 확인하세요.
    • 조치를 취하기 전에 빠르게 살펴보려면 세부정보 보기를 클릭하세요. 그러면 항목의 주요 정보가 포함된 측면 드로어가 열립니다.
    • 엔티티에서 특정 작업을 실행하려면 설정 설정을 클릭하고 여기에서 수동 작업을 만드세요.
  • 이벤트 표: 모든 알림 이벤트와 속성을 확인합니다. 표 행을 클릭하면 측면 탐색 메뉴가 열려 이벤트 세부정보를 확인할 수 있습니다.
  • HTML: 플레이북 결과에서 관련 정보가 포함된 HTML 코드를 확인합니다.
  • 자유 텍스트: 관리자가 정의한 정보를 확인합니다.
  • 키 값: 다양한 소스의 구체적인 세부정보를 확인하고 뷰에 표시합니다. 예: 키 - 제품 값 - [Alert.Product]
  • 항목 그래프: 시각적 그래프 및 기타 케이스 항목 세부정보를 확인합니다. 엔티티를 클릭하면 측면 창이 열립니다.
  • 통계: 이 위젯에는 플레이북 통계 작업의 모든 통계, 일반 통계, 사용자가 추가한 기타 통계가 포함됩니다. HTML 형식으로 표시됩니다.
  • 대기 중인 작업: 플레이북이 계속 실행되도록 사용자 입력을 기다리는 모든 작업을 빠르게 확인합니다.
  • 빠른 작업: 이 위젯은 분석가에게 알림 컨텍스트 내에서 관련 작업에 즉시 액세스할 수 있는 권한을 제공합니다. 작업 및 매개변수 정의를 비롯한 빠른 작업을 구성하는 방법에 관한 자세한 내용은 케이스에 대한 작업 수행을 참고하세요.

맞춤 알림 뷰 만들기 

이 예시에서는 1등급 역할의 피싱 이메일에 맞춤 알림 뷰를 빌드하는 방법을 보여줍니다.

맞춤 알림 뷰를 추가하려면 다음 단계를 따르세요.
  1. 알림의 개요 탭으로 이동합니다.
  2. 플레이북 페이지에서 피싱 이메일 플레이북으로 이동하여 보기 추가를 클릭합니다.
  3. 템플릿 이름을 입력하고 필요한 역할을 선택한 다음 추가를 클릭합니다(이 경우 Tier One).
  4. 다음 위젯 중에서 선택하여 맞춤 보기를 만드세요. 선택한 위젯을 뷰로 드래그한 다음 요구사항에 따라 구성합니다.
  5. 대기 중인 작업 위젯을 추가합니다.
  6. 자유 텍스트 위젯 두 개를 추가합니다. 승인 작업이 있는 경우 하나가 표시됩니다. 여기에는 다음 자리표시자가 포함됩니다.
    [Case Outcome - Block approved .ScriptResult]
    결과가 승인되지 않으면 다른 위젯이 표시됩니다. [Case Outcome - Block not approved .ScriptResult]
  7. 자유 형식 텍스트 위젯을 하나 더 추가하고 이름을 Attack Details - Mitre로 지정합니다. 여기에는 [Mitre Attack Details.ScriptResult] 자리표시자가 포함됩니다.
  8. 엔티티 하이라이트 위젯을 추가합니다.
  9. JSON 위젯을 추가하고 다음 자리표시자를 추가합니다. [Exchange_Search Mails_1.JsonResult]
  10. HTML 위젯을 추가합니다. 
  11. 적절한 알림이 시스템에 수집되고 플레이북이 실행되면 1단계 역할 사용자가 플랫폼에 들어가 플레이북 결과가 포함된 알림 개요를 확인할 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.