创建用户请求

支持的平台:

本文档介绍了如何创建请求模板,并演示了从用户提交请求到 playbook 自动处理相应支持请求的端到端流程。

您可以定义最终用户可直接从首页中选择的请求。这些请求可充当内部工单系统,让 IT 和 SOC 等不同团队或托管安全服务提供商 (MSSP) 与最终用户能够更高效地沟通。

每项请求都可以通过以下两种方式之一来处理:

  • 由分析师手动完成
  • 通过 playbook 自动执行,从而简化整个流程

您可以定义用户可在首页上选择的请求。分析师可以手动处理每个请求,也可以通过 playbook 自动处理这些请求,其中平台充当内部工单系统。每个请求都会以带有 Request 标签的支持请求的形式进入平台。

此类请求的示例包括:

  • 屏蔽恶意 IP
  • 优化 SIEM 规则
  • 新用户入门

本文档演示了如何创建请求模板,并展示了端到端流程。

为内部用户添加权限

对于此使用情形,我们建议您规划要自动执行哪些请求,然后构建相应的 playbook

定义请求

如需定义 Salesforce 权限请求,请执行以下操作:

  1. 依次前往设置 > 环境 > 请求
  2. 依次点击 添加 添加请求
  3. 添加请求流对话框中,输入逻辑名称并选择环境。
  4. 选择请求类型。此类别决定了活动字段列表中显示哪些实体。在此使用情形下,请选择请求类型 Login
  5. 事件字段可让平台识别传入的支持服务请求,并在后台执行适当的映射和建模。
  6. 事件字段部分,手动输入字段名称,然后选择字段类型(例如 emailstring)。
  7. 水印字段中,为请求者添加指令。
  8. 原始事件字段列表中,您可以选择使用事件字段来引入原始事件,也可以使用稍后可在剧本中使用的实体。此示例使用 UsernameSourceUserName 实体。
  9. 点击 Add(添加)。

构建 playbook

以下过程展示了如何构建在新的支持请求进入平台时自动运行的 playbook:

  1. 创建具有适当名称和环境的新剧本。
  2. 选择提醒类型触发器,将条件设置为等于,并将值设置为您创建的请求模板。在这种情况下,Salesforce 权限审批
  3. 添加 Enrich Entities 活跃目录,以获取有关用户的更多信息。
  4. 添加 Active Directory:将用户添加到群组操作,并设置以下参数:
    • 操作类型:手动:playbook 停止运行,等待进一步的指令。
    • 分配给:管理员:将相应步骤分配给特定用户或 SOC 角色,例如管理员。然后,待处理操作会显示在首页和支持请求视图中。
    • 给分配对象的留言:此留言会显示在待处理操作的详情中。例如,输入请批准或拒绝用户 [Entity.Identifier] 对 Salesforce 群组的权限。
    • 回复时间:启用此计时器,并为分配的用户设置 1 天的回复时间。
  5. 添加 Siemplify 关闭支持请求操作。此操作会在管理员批准或拒绝请求后关闭剧本。

现在,系统会使用相应的 playbook 创建请求。

批准请求

用户选择请求。如需了解详情,请参阅通过“您的工作台”填写请求。用户提交请求选择后,系统会将其作为支持请求输入。然后,该 playbook 会等待管理员输入内容以继续执行。

您可以在平台内的三个不同位置查看待处理的请求并批准该请求:

  • 案例:在相关提醒下,点击侧边抽屉中的 Playbook 标签页,然后点击执行以批准请求。
  • 支持请求 > 概览:点击相应 widget 中的执行
  • 首页:点击待处理操作标签页,选择必需的待处理操作,然后点击执行以批准请求。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。