フィールド
「フィールド (Fields)」セクションには、ウィザードまたはインシデントで使用できるすべてのフィールドがリストされます。
アプリケーションには、いくつかのフィールドが用意されています。 ほとんどのフィールドは自明です。 以下のリストは、いくつかのフィールドの説明を示しています。
- 部門. データ漏洩に関わる可能性のある組織内の部署名をカスタムで指定することができます。
- ソース/ベンダーの公開. ベンダーまたは他のサード・パーティーのカスタム名を、データ漏洩に関与している可能性のある組織に対して指定できます。
- 最終変更日時. インシデントが最後に変更された時刻を追跡します。 これは、フィルターおよびレイアウトで使用できる読み取り専用フィールドで、インシデント・リストにも表示されます。 ルールやその他の条件では使用できません。
- データのソース. データベースまたはビジネス・アプリケーションの特定の名前など、データ損失のカスタム・ソースを指定することができます。 この情報は、傾向を分析する場合に役立ちます。
- シーケンス・コード. このフィールドには、アカウントに新しいインシデントが作成されるたびに増加するプレフィックスとインデックスが含まれています。 シーケンス・コードはレポートと監査ログに含まれています。 他のフィールドとは異なり、ユーザーはインシデントのフィールド値を編集できません。 管理者設定でプレフィックスを変更できます。
独自のニーズに応じて、各フィールドを編集してカスタマイズできます。 インシデント内のフィールドを使用するには、「インシデント」列内のロケーションにドラッグします。
さらに、トラッキング、レポート、および文書化を目的とした新規データ・フィールドを作成できます。
カスタム・フィールドを作成するには、 「フィールドの追加」 をクリックしてパラメーターを入力します。
- フィールドのラベルが 80 文字を超える場合は、省略ラベル・プロパティーが表示されます。 これにより、設計者はユーザーに長い名前または指示を提供することができますが、設計者およびプログラマーには短い名前を提供することができます。 API 名は、フィールドのラベルではなく、省略ラベルから派生します。 デフォルトでは、省略ラベルはフィールド・ラベルの最初の 80 文字です。 省略ラベル内のテキストは、ユーザーには表示されません。
- ユーザーがフィールドを入力する必要がない場合は、そのフィールドに「オプション」とマークを付けます。
- フィールドを、インシデントをオープンする際の必須フィールドにするには、「常時 (Always)」を使用します。 ユーザーが新しいインシデントを作成すると、 「常時」 としてマークされたフィールドは、ユーザー・インターフェースにアスタリスクが表示されます。これは、そのフィールドが必要であることを示しています。
- フィールドを、インシデントをクローズする際の必須フィールドにするには、「クローズ時 (On Close)」を使用します。 ユーザーがインシデントを閉じると、システムは、 クローズ時 とマークされているがまだ設定されていないフィールドを表示するダイアログをユーザーに求めるプロンプトをユーザーに出します。
「選択」のタイプのフィールドを作成する場合は、デフォルト値を設定できます。 この値が表示されるのは、それが新規インシデント・ウィザードまたはレイアウトの他の場所に存在する場合のみです。
JSONタイプのフィールドを作成するときに、オプションの JSON スキーマ値を設定できます。
「複数選択」のタイプのフィールドを作成する場合、デフォルト値を設定できますが、デフォルト値は新規インシデント・ウィザードにのみ関連します。 そのフィールドが他の場所で使用される場合、デフォルト値は表示されません。
既存の「選択」フィールドまたは「複数選択」フィールドの値は、実行中のプレイブック、ルール、またはワークフローで使用されている場合、削除できません。 ただし、 IBM Security QRadar Suite V1.9 より前に作成され、それ以降保存されていないプレイブック、ルール、およびワークフローはチェックされません。
タイプ 選択 または ブールのフィールドを作成または編集するときに、変更時間の追跡を選択することにより、フィールドが各値で費やす期間を追跡することができます。 トラッキング情報は、カスタム・グラフで、または 「タイマー・ウィジェット」 ビューが追加されたインシデント・タブで使用できます。 詳しくは、「 カスタム・グラフ」または「 タブでの時間トラッキング情報の表示」を参照してください。