Definir visualizações de alertas personalizadas no designer de playbook

Compatível com:

Este documento explica como criar visualizações de alerta personalizadas em cada playbook para funções específicas do Google SecOps. As visualizações de alertas personalizadas garantem que cada usuário do Google SecOps possa ver os alertas adaptados às necessidades específicas. 

Você cria as visualizações no designer de playbook, e elas são compostas de vários widgets que podem ser arrastados e editados para criar a visualização necessária com base nos resultados do playbook. Para uma descrição detalhada de todos os widgets, consulte Visualização de alerta padrão.  

Ao criar visualizações de alerta personalizadas, você pode decidir com antecedência quais informações quer mostrar para diferentes funções. Por exemplo, se você tiver um usuário colaborador e tiver criado uma função do Google SecOps para ele chamada Função de cliente premium, poderá criar uma visualização que contenha apenas as informações adequadas à função sem comprometer a segurança da sua organização.

Se você não definir uma visualização para uma função específica do Google SecOps, os usuários com essa função vão ver a visualização de alerta padrão. 

A configuração personalizada da visualização de alerta no designer de playbooks pode incluir os seguintes widgets:

  • Resultados em JSON: veja um resultado JSON no sistema.
  • Destaques de entidade: veja as entidades associadas ao alerta.
    • Se você for um cliente do Google SecOps, clique em Explorar para ser redirecionado à página Recurso do alerta e realizar mais ações. A página em que você vai parar depende do tipo de entidade. Para mais informações, consulte Visualizações de investigação.
    • Se você precisar de informações mais detalhadas antes de tomar uma ação, clique na entidade para acessar a página do Explorador de entidades e conferir todos os detalhes.
    • Para dar uma olhada rápida antes de tomar uma ação, clique em Ver detalhes. Um painel lateral será aberto com os destaques da entidade.
    • Para executar uma ação específica em uma entidade, clique em configurações Configurações e crie uma ação manual.
  • Tabela de eventos: confira todos os eventos de alerta e as propriedades deles. Clique em qualquer uma das linhas da tabela para abrir um painel lateral com os detalhes dos eventos.
  • HTML: veja o código HTML que contém informações relevantes dos resultados do playbook.
  • Texto livre: veja informações definidas pelo administrador.
  • Valor-chave: confira detalhes específicos de várias fontes e mostre-os na visualização. Por exemplo: chave: valor do produto, valor: [Alert.Product]
  • Gráfico de entidades: confira um gráfico visual e outros detalhes da entidade do caso. Clique em uma entidade para abrir um painel lateral.
  • Insights: este widget contém todos os insights das ações do Playbook Insights, além de insights gerais e outros que você adicionou. Eles são apresentados em formato HTML.
  • Ações pendentes: veja rapidamente todas as ações que aguardam sua entrada para manter o playbook em execução.
  • Ações rápidas: esse widget oferece aos analistas acesso imediato a ações relevantes diretamente no contexto do alerta. Para instruções detalhadas sobre como configurar ações rápidas, incluindo a definição de ações e parâmetros, consulte Realizar ações em um caso.

Criar uma visualização de alerta personalizada 

Este exemplo mostra como criar uma visualização de alerta personalizada em um e-mail de phishing para uma função de nível 1.

Para adicionar uma visualização de alerta personalizada, faça o seguinte:
  1. Acesse a guia Visão geral do alerta.
  2. Na página Playbooks, acesse o playbook E-mail de phishing e clique em Adicionar visualização.
  3. Digite um nome de modelo, escolha a função necessária e clique em Adicionar. Neste caso, Nível 1.
  4. Crie sua visualização personalizada selecionando um dos widgets a seguir. Arraste os widgets selecionados para a visualização e configure-os de acordo com seus requisitos.
  5. Adicione um widget Ações pendentes.
  6. Adicione dois widgets Texto livre. Um deles será mostrado se houver uma ação de aprovação. Ele contém o seguinte marcador de posição:
    [Case Outcome - Block approved .ScriptResult]
    O outro widget aparece se o resultado não for aprovado. [Case Outcome - Block not approved .ScriptResult]
  7. Adicione outro widget Texto livre e dê a ele o nome Attack Details - Mitre. Ele contém o seguinte marcador de posição: [Mitre Attack Details.ScriptResult].
  8. Adicione o widget Destaques de entidades.
  9. Adicione um widget JSON e o seguinte marcador de posição: [Exchange_Search Mails_1.JsonResult].
  10. Adicione o widget HTML
  11. Depois que o alerta apropriado for ingerido no sistema e o playbook for executado, o usuário da função de nível 1 poderá acessar a plataforma e conferir a Visão geral do alerta com os resultados do playbook.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.