创建自定义信息中心
支持的平台:
Google SecOps
SIEM
您可以创建自定义信息中心,以便深入了解数据。 您可以向信息中心添加功能块,以显示可视化图表、文本或按钮。
以下是创建自定义信息中心的选项:
创建自定义信息中心后,您可以在左侧导航栏的个人信息中心部分或共享信息中心部分下维护该信息中心。个人信息中心只有您自己可以看到。共享信息中心对团队中所有可以访问 Google Security Operations 中信息中心的成员均可见。
使用自定义信息中心时,您通常需要访问信息中心操作和功能块操作菜单。
如需对自定义信息中心执行操作,请打开信息中心操作菜单。 下图显示了菜单位置。
打开信息中心操作菜单
如需对功能块执行操作,请打开功能块操作菜单。下图显示了菜单位置。
打开功能块操作菜单
创建新信息中心
如需创建新的信息中心,请按以下步骤操作:
- 在左侧导航栏的个人信息中心或共享信息中心部分下,依次点击添加 > 创建新信息中心。系统随即会显示一个新的空白信息中心。
- 点击修改信息中心,然后为新信息中心输入名称。
- 向信息中心添加功能块。
- 完成之后,点击保存。
复制现有信息中心
如果原始信息中心使用的数据模型包含您想要使用的可视化图表,则复制现有信息中心可以节省时间。您可以从左侧导航栏中的默认信息中心、个人信息中心或共享信息中心部分复制现有信息中心。
如需复制现有信息中心,请执行以下操作:
- 从左侧导航栏的默认信息中心、个人信息中心或共享信息中心部分中,选择要复制的信息中心。
点击信息中心名称旁边的 菜单,然后选择复制到个人信息中心或复制到共享信息中心。
这会将信息中心复制到左侧导航栏中的个人信息中心或共享信息中心部分。
修改信息中心
- 前往个人信息中心或共享信息中心,然后选择一个信息中心。
- 依次点击 Dashboard actions > Edit dashboard。
向信息中心添加功能块
您可以使用以下任一方法添加功能块:
- 创建新的空白功能块。
- 复制信息中心中现有的功能块。
您可以选择以下任意类型的功能块:
- 可视化
- 文本
- Markdown
- 按钮
创建新功能块
如需向信息中心添加新的功能块,请执行以下操作:
- 打开要修改的现有信息中心或创建新信息中心。
- 在信息中心修改对话框中,点击添加,然后选择功能块类型:可视化图表、文本、Markdown 或按钮。
- 您会看到不同的配置选项,具体取决于您选择的功能块类型。如果您选择 IOC 匹配,则可以添加
Event Timestamp Filter仅限过滤条件的字段。
复制现有功能块
如需在当前信息中心内复制功能块,请按以下步骤操作。然后,您可以修改副本以使用不同的字段、可视化图表和过滤条件。
- 打开要修改的现有信息中心。
- 在要复制的功能块中,点击 功能块操作,然后点击复制功能块。系统会创建一个新功能块,其中包含与原始功能块相同的“探索”和自定义字段。 您无法更改绑定到功能块的探索数据模型。
- 修改功能块以支持特定用例。
- 点击保存。
修改功能块
- 打开要修改的现有信息中心。
- 找到要修改的功能块,然后依次点击 功能块操作 > 修改。
- 修改功能块以支持特定用例。
- 点击保存。
后续步骤:
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。