Benutzerdefinierte Benachrichtigungsansichten im Playbook Designer definieren

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie benutzerdefinierte Benachrichtigungsansichten für bestimmte Google SecOps-Rollen in jedem Playbook erstellen. Die benutzerdefinierten Ansichten für Benachrichtigungen sorgen dafür, dass jeder Google SecOps-Nutzer die Benachrichtigungen sieht, die auf seine spezifischen Anforderungen zugeschnitten sind. 

Sie erstellen die Ansichten im Playbook Designer. Sie bestehen aus verschiedenen Widgets, die Sie ziehen und bearbeiten können, um die erforderliche Ansicht basierend auf den Playbook-Ergebnissen zu erstellen. Eine detaillierte Beschreibung aller Widgets finden Sie unter Standardansicht für Benachrichtigungen.  

Durch das Erstellen benutzerdefinierter Ansichten für Benachrichtigungen können Sie im Voraus festlegen, welche Informationen für die verschiedenen Rollen angezeigt werden sollen. Wenn Sie beispielsweise einen Nutzer mit der Rolle „Mitwirkender“ haben und für diesen Nutzer eine Google SecOps-Rolle mit dem Namen Premium Customer Role erstellt haben, können Sie eine Ansicht erstellen, die nur die Informationen enthält, die für diese Rolle relevant sind, ohne die Sicherheit Ihrer Organisation zu beeinträchtigen.

Wenn Sie keine Ansicht für eine bestimmte Google SecOps-Rolle definieren, sehen Nutzer mit dieser Rolle die Standardansicht für Benachrichtigungen. 

Die Konfiguration der benutzerdefinierten Benachrichtigungsansicht im Playbook-Designer kann die folgenden Widgets enthalten:

  • JSON-Ergebnisse: Hier können Sie ein JSON-Ergebnis im System ansehen.
  • Entitätshighlights: Hier sehen Sie die mit der Benachrichtigung verknüpften Entitäten.
    • Wenn Sie Google SecOps-Kunde sind, klicken Sie auf Untersuchen, um zur Seite Asset der Benachrichtigung weitergeleitet zu werden und weitere Aktionen auszuführen. Die Seite, auf die Sie weitergeleitet werden, hängt vom Typ der Entität ab. Weitere Informationen finden Sie unter Untersuchungsansichten.
    • Wenn Sie detailliertere Informationen benötigen, bevor Sie Maßnahmen ergreifen, klicken Sie auf die Entität, um die Seite Entity Explorer aufzurufen und alle Details anzusehen.
    • Wenn Sie sich vor dem Ergreifen von Maßnahmen einen schnellen Überblick verschaffen möchten, klicken Sie auf Details ansehen. Daraufhin wird eine Seitenleiste mit den wichtigsten Informationen zur Entität geöffnet.
    • Wenn Sie eine bestimmte Aktion für eine Einheit ausführen möchten, klicken Sie auf Einstellungen Einstellungen und erstellen Sie von dort aus eine manuelle Aktion.
  • Ereignistabelle: Hier sehen Sie alle Ereignisse zu Benachrichtigungen und die zugehörigen Eigenschaften. Klicken Sie auf eine der Tabellenzeilen, um eine Seitenleiste mit Ereignisdetails zu öffnen.
  • HTML: Hier sehen Sie den HTML-Code, der relevante Informationen aus den Playbook-Ergebnissen enthält.
  • Freitext: Hier können Sie von Administratoren definierte Informationen aufrufen.
  • Schlüssel/Wert-Paar: Hier können Sie sich spezifische Details aus verschiedenen Quellen ansehen und in der Ansicht anzeigen lassen. Beispiel: Schlüssel – Produktwert – [Alert.Product]
  • Entitätsdiagramm: Hier sehen Sie ein visuelles Diagramm und andere Details der Fallentität. Klicken Sie auf eine Einheit. Daraufhin wird eine Seitenleiste geöffnet.
  • Statistiken: Dieses Widget enthält alle Statistiken aus den Playbook Insights-Aktionen, allgemeine Statistiken und alle anderen Statistiken, die Sie hinzugefügt haben. Sie werden im HTML‑Format dargestellt.
  • Ausstehende Aktionen: Hier können Sie schnell alle Aktionen aufrufen, für die Ihre Eingabe erforderlich ist, damit das Playbook ausgeführt werden kann.
  • Schnellaktionen: Dieses Widget bietet Analysten direkten Zugriff auf relevante Aktionen direkt im Kontext der Benachrichtigung. Eine detaillierte Anleitung zum Konfigurieren von Schnellaktionen, einschließlich des Definierens von Aktionen und Parametern, finden Sie unter Aktionen für einen Fall ausführen.

Benutzerdefinierte Benachrichtigungsansicht erstellen 

In diesem Beispiel wird gezeigt, wie Sie eine benutzerdefinierte Benachrichtigungsansicht für eine Phishing-E-Mail für eine Rolle der Stufe 1 erstellen.

So fügen Sie eine benutzerdefinierte Benachrichtigungsansicht hinzu:
  1. Rufen Sie den Tab Übersicht der Benachrichtigung auf.
  2. Rufen Sie auf der Seite Playbooks das Playbook Phishing-E-Mail auf und klicken Sie auf Ansicht hinzufügen.
  3. Geben Sie einen Namen für die Vorlage ein, wählen Sie die erforderliche Rolle aus und klicken Sie dann auf Hinzufügen. In diesem Fall ist das Tier One.
  4. Erstellen Sie Ihre benutzerdefinierte Ansicht, indem Sie die gewünschten Widgets auswählen. Ziehen Sie die ausgewählten Widgets in die Ansicht und konfigurieren Sie sie nach Bedarf.
  5. Fügen Sie ein Ausstehende Aktionen-Widget hinzu.
  6. Fügen Sie zwei Freitext-Widgets hinzu. Sie wird angezeigt, wenn eine Genehmigungsaktion vorhanden ist. Es enthält den folgenden Platzhalter:
    [Case Outcome - Block approved .ScriptResult]
    Das andere Widget wird angezeigt, wenn das Ergebnis nicht genehmigt wird. [Case Outcome - Block not approved .ScriptResult]
  7. Fügen Sie ein weiteres Freitext-Widget hinzu und nennen Sie es Attack Details - Mitre. Sie enthält den folgenden Platzhalter: [Mitre Attack Details.ScriptResult].
  8. Fügen Sie das Widget Einheiten-Highlights hinzu.
  9. Fügen Sie ein JSON-Widget und den folgenden Platzhalter hinzu: [Exchange_Search Mails_1.JsonResult].
  10. Fügen Sie das HTML-Widget hinzu. 
  11. Sobald die entsprechende Benachrichtigung in das System aufgenommen und das Playbook ausgeführt wurde, kann der Nutzer mit der Rolle „Tier 1“ die Plattform aufrufen und die Übersicht der Benachrichtigung mit den Playbook-Ergebnissen aufrufen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten