管理房源中繼資料
支援的國家/地區:
Google SecOps
SOAR
本文說明如何使用屬性中繼資料,變更系統顯示事件欄位的方式,以及顯示事件欄位的類別,例如「案件總覽」 >「事件欄位」和「實體畫面」 >「擴充欄位」。舉例來說,您可以設定屬性中繼資料,讓系統在「VirusTotal」VirusTotal類別中,將所有以 VT_ 前置字元開頭的事件或擴充欄位分組。
建立中繼資料屬性後,您可以驗證該屬性。
新增房源中繼資料
如要新增資源中繼資料,請按照下列步驟操作:
-
依序前往「設定」>「資料設定」>「資源中繼資料」。
- 按一下「新增」。
-
新增下列必要資訊:
- 系統名稱:原始欄位的名稱。
- 顯示名稱:欄位在畫面上的顯示方式。
- 群組名稱:欄位所屬的群組或類別名稱。
- 前置字串:用於將多個欄位分組的前置字串。
- 修剪前置字元:從欄位名稱中移除前置字元。
舉例來說,如果您定義並修剪VT_前置字串,系統會將VT_department顯示為部門。 - 顯示:在頁面上顯示欄位。
- 醒目顯示:在頁面的「醒目顯示」部分顯示欄位。
- 按一下「新增」。
驗證房源中繼資料
視是否使用前置字元而定,您可以透過兩種方式驗證屬性中繼資料。
驗證時不使用前置字串
如要驗證沒有前置字元的屬性中繼資料,請按照下列步驟操作:
- 為特定欄位新增沒有前置字元的屬性中繼資料,然後按一下「新增」。
- 依序前往「案件」>「快訊事件」分頁。
- 按一下「查看更多」。側邊抽屜會顯示「類別檔案」。
使用前置字串驗證
如要使用前置字元驗證屬性中繼資料,請按照下列步驟操作:
- 為多個欄位新增屬性中繼資料 (包括
VT_前置字元),然後按一下「儲存」。 - 前往「案件總覽」或「快訊總覽」分頁中的「實體重點」小工具。
- 按一下實體,開啟「實體詳細資料」頁面。
用途
本節說明各種用途,展現系統在管理及顯示案件內事件方面的彈性。設定案件中活動的預設外觀
在 Google SecOps 中,案件包含部分快訊。這些快訊可存取事件,包括說明事件的特定欄位。如要測試這項功能,請建立新案件:- 依序選取「案件」>「新增」>「模擬案件」。
- 在偏好的環境中建立新的「偵測到惡意軟體」案件。如果沒有其他案例,請使用「預設環境」。
- 在案件說明中,選取「發現病毒」快訊,然後選取「事件」分頁。系統會顯示單一事件,同樣命名為「發現病毒」。
- 按一下「發現病毒」事件,即可查看欄位清單。
- 捲動畫面,找出與活動日期相關的欄位。
修改案件中事件的外觀
您可以修改事件外觀、重新命名欄位,以及將欄位分組。 如要修改事件的外觀,請更新屬性中繼資料。 以下範例說明如何重新設定下列欄位,使其以西班牙文顯示。- 開啟新的瀏覽器分頁,然後依序點選「SOAR Settings」>「Data Configuration」>「Properties Metadata」。
- 按一下「新增」,然後根據下表重新定義「顯示名稱」欄位值。
重新設定下列欄位,以顯示西班牙文:
date_hourdate_mdaydate_minutedate_monthdate_seconddate_wdaydate_yeardate_zone
選取下列選項之一:
- 顯示:在活動說明中顯示欄位。
- 醒目顯示:將欄位移至醒目顯示欄位的專屬群組。
| 系統名稱 | 顯示名稱 | 群組名稱 | 顯示 | 醒目顯示 |
|---|---|---|---|---|
date_hour |
Hora |
Fecha del evento |
是 | 是 |
date_mday |
Día del mes |
Fecha del evento |
是 | 否 |
date_minute |
Minuto |
Fecha del evento |
有 | 是 |
date_month |
Mes |
Fecha del evento |
是 | 否 |
date_second |
Segunda |
Fecha del evento |
無 | 無 |
date_wday |
Día de la semana |
Fecha del evento |
無 | 無 |
date_year |
Año |
Fecha del evento |
無 | 否 |
date_zone |
Zona horaria |
Fecha del evento |
是 | 否 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。