Criar solicitações de usuário

Compatível com:

Este documento explica como criar um modelo de solicitação e demonstra o fluxo completo, desde o envio de uma solicitação por um usuário até o tratamento automático do caso por um playbook.

É possível definir solicitações para que os usuários finais selecionem diretamente na página inicial. Essas solicitações funcionam como um sistema interno de tíquetes, permitindo que diferentes equipes, como TI e SOC, ou um provedor de serviços de segurança gerenciados (MSSP) e um usuário final, se comuniquem com mais eficiência.

Cada solicitação pode ser processada de duas maneiras:

  • Manualmente por um analista
  • Automaticamente por um playbook, que simplifica todo o processo

É possível definir solicitações que os usuários podem selecionar na página inicial. Um analista pode processar cada solicitação manualmente ou um playbook pode automatizá-las, em que a plataforma serve como um sistema interno de tíquetes. Cada solicitação entra na plataforma como um caso com o rótulo Solicitação.

Confira alguns exemplos dessas solicitações:

  • Bloqueio de IPs maliciosos
  • Otimizar regras do SIEM
  • Integrar um novo usuário

Este documento demonstra como criar um modelo de solicitação e mostra o fluxo de ponta a ponta.

Adicionar permissões para usuários internos

Para esse caso de uso, recomendamos que você planeje quais solicitações automatizar e crie o playbook correspondente.

Definir uma solicitação

Para definir uma solicitação de permissões do Salesforce:

  1. Acesse Configurações > Ambientes > Solicitações.
  2. Clique em add Adicionar solicitações.
  3. Na caixa de diálogo Adicionar fluxo de solicitação, insira um nome lógico e selecione um ambiente.
  4. Selecione um Tipo de solicitação. Essa categoria determina quais entidades aparecem na lista Campos de evento. Para este caso de uso, escolha o tipo de solicitação Login.
  5. Os campos de evento permitem que a plataforma reconheça a solicitação de caso recebida e faça o mapeamento e a modelagem adequados nos bastidores.
  6. Na seção Campos de evento, insira manualmente um nome de campo e selecione o tipo (por exemplo, email ou string).
  7. No campo Marca d'água, adicione uma instrução para o solicitante.
  8. Na lista Campo de evento bruto, você pode usar um campo de evento para trazer um evento bruto ou usar entidades que podem ser usadas em playbooks mais tarde. Este exemplo usa as entidades Username e SourceUserName.
  9. Clique em Adicionar.

Criar um playbook

O procedimento a seguir mostra como criar um playbook que é executado automaticamente quando a nova solicitação de caso entra na plataforma:

  1. Crie um novo playbook com um nome e um ambiente adequados.
  2. Selecione o Gatilho de tipo de alerta, defina a condição como Igual a e o valor como o modelo de solicitação que você criou. Nesse caso, Aprovações de permissão do Salesforce.
  3. Adicione o diretório ativo Enrich Entities para ter mais informações sobre o usuário.
  4. Adicione a ação Active Directory: adicionar usuário ao grupo e defina estes parâmetros:
    • Tipo de ação: manual: o playbook para de ser executado e aguarda mais instruções.
    • Atribuir a: administrador: atribua a etapa a um usuário específico ou a uma função do SOC, como Administrador. A ação pendente é exibida na página inicial e na Visualização de caso.
    • Mensagem ao usuário atribuído: essa mensagem aparece como parte dos detalhes da ação pendente. Por exemplo, digite Aprove ou recuse a permissão para o usuário [Entity.Identifier] no grupo do Salesforce.
    • Tempo para responder: ative esse timer e dê ao usuário atribuído um dia para responder.
  5. Adicione a ação Siemplify Close Case. Essa ação encerra o playbook depois que o administrador aprova ou recusa a solicitação.

A solicitação agora é criada com o playbook correspondente.

Aprovar a solicitação

O usuário escolhe uma solicitação. Para mais detalhes, consulte preencher uma solicitação na sua mesa de trabalho. Depois que um usuário envia a seleção de solicitação, ela entra no sistema como um caso de solicitação. Em seguida, o playbook aguarda a entrada do administrador para continuar.

Você pode ver e aprovar a solicitação pendente em três lugares diferentes na plataforma:

  • Casos: abaixo do alerta relevante, clique na guia Playbooks e em Executar no painel lateral para aprovar a solicitação.
  • Casos > Visão geral: clique em Executar no widget apropriado.
  • Página inicial: clique na guia Ações pendentes, selecione Ação pendente obrigatória e clique em Executar para aprovar a solicitação.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.