Unterstützung mehrerer Instanzen

Unterstützt in:

Sie können mehrere Instanzen derselben Integration in derselben Umgebung konfigurieren. Diese Funktion bietet Ihnen mehr Flexibilität und Kontrolle beim Erstellen und Ausführen von Playbooks. Sie können beispielsweise ein Playbook für einen Kunden mit zwei Websites erstellen, auf denen jeweils separate Active Directories verwendet werden, und dann für jeden Playbook-Schritt die entsprechende Integrationsinstanz auswählen.

Diese Funktion wird unter Antwort > Einrichtung von Integrationen konfiguriert und wird durch die Option Instanz auswählen für jedes Feld im Playbook-Schritt und die Option für die Mehrfachauswahl der Umgebung unterstützt.

Integrationsoptionen ansehen

Auf der Seite Integrationen sind zwei vordefinierte Optionen aufgeführt:

  • Freigegebene Instanzen
  • Standardumgebung

Freigegebene Instanzen fungiert als Bibliothek mit konfigurierten Integrationen, die Sie in allen Umgebungen verwenden können.

Der Bereich Gemeinsame Instanzen enthält vordefinierte Google SecOps-Integrationen, die standardmäßig verfügbar sind.

Alle Umgebungen, die Sie unter Einstellungen > Organisationen > Umgebungen erstellen, werden in der Umgebungsliste angezeigt.

Sie können die Anzeige von Umgebungen filtern oder leere Umgebungen ausblenden. Unternehmenskunden verwenden in der Regel die Standardumgebung.

Integrationsinstanz hinzufügen und konfigurieren

  1. Fügen Sie eine Umgebung hinzu. Wählen Sie auf der Seite Integration einrichten zuerst die Umgebung aus, in der Sie die Integration konfigurieren möchten, oder fügen Sie sie hinzu.
  2. Erstellen Sie eine neue Instanz. Klicken Sie auf Hinzufügen Neue Instanz erstellen.
  3. Wählen Sie die Integration aus der Liste aus und geben Sie die erforderlichen Parameter für die jeweilige Instanz ein. Hinweis: Sie müssen eine Instanz konfigurieren, bevor Sie sie in einem Playbook verwenden können.
    • Wenn Sie eine zweite Instanz derselben Integration in derselben Umgebung konfigurieren möchten, wiederholen Sie den Vorgang.
    • Wenn Sie eine Instanz später bearbeiten oder neu konfigurieren möchten, klicken Sie neben der Integration auf Einstellungen Instanz konfigurieren.

Umgebung auswählen

Die Funktion zum Auswählen mehrerer Umgebungen ist beim Erstellen eines neuen Playbooks verfügbar. Rufen Sie die Seite Playbooks auf, um sie zu sehen. Führen Sie einen der folgenden Schritte aus:
  • Wählen Sie Alle Umgebungen aus, um das Playbook in allen im System definierten Umgebungen auszuführen.
  • Wählen Sie eine oder mehrere Umgebungen aus, in denen das Playbook ausgeführt werden soll.

Wenn Sie mehrere oder alle Umgebungen auswählen, wird der für Playbook-Schritte konfigurierbare Instanztyp eingeschränkt. Eine detailliertere Erklärung folgt.

Instanz in einem Playbook verwenden

Wenn Sie einem Playbook, in dem eine Integration verwendet wird, einen Schritt hinzufügen, hängen die Optionen im Feld Instanz konfigurieren von Folgendem ab:

  • Von Ihnen erstellte Instanzen
  • Welche Umgebungen Sie für das Playbook ausgewählt haben

Einzelne Umgebung

Wenn Sie eine einzelne Umgebung auswählen, können Sie im Feld Instanz konfigurieren Folgendes auswählen:

  • Eine Instanz, die Sie für diese bestimmte Aktion in der ausgewählten Umgebung konfiguriert haben.
  • Eine Integration für eine gemeinsam genutzte Instanz, falls verfügbar.

Mehrere Umgebungen oder alle Umgebungen

Wenn Sie mehrere Umgebungen oder Alle Umgebungen auswählen, ist die erste Option unter Instanz konfigurieren der dynamische Modus.

Dynamischer Modus

Im dynamischen Modus versucht Google SecOps, auf die Integrationsinstanz zuzugreifen, die für die Umgebung konfiguriert ist, die dem Fall zugeordnet ist, wenn das Playbook an einen Fall angehängt wird.

Fallback-Instanz

Das Feld Fallback Instance (Fallback-Instanz) ist optional. Wenn Dynamischer Modus ausgewählt ist und keine Instanz für eine bestimmte Umgebung konfiguriert ist, können Sie eine Fallback-Instanz aus den freigegebenen Instanzen auswählen. Diese Option ist für Playbooks verfügbar, die in allen Umgebungen ausgeführt werden.

Wenn keine geeignete Instanz vorhanden ist und kein Fallback konfiguriert ist, passiert Folgendes:

  • Die Aktion schlägt fehl, sofern sie nicht so konfiguriert ist, dass sie bei einem Fehler übersprungen wird.
  • Die Option skip if failed ist besonders für Managed Security Service Provider (MSSPs) nützlich, die Schritte überspringen möchten, wenn Kunden keine Lizenz für ein bestimmtes Tool haben.

Eine Fallback-Instanz wird nicht verwendet, wenn mehr als eine Instanz für die Fallumgebung konfiguriert ist. In diesem Fall wird das Playbook pausiert und der Analyst wird aufgefordert, die entsprechende Instanz manuell auszuwählen.

Anwendungsfall 1: Zwei Instanzen in einer Standardumgebung

In diesem Szenario wird ein Unternehmensnetzwerk in zwei Standorte unterteilt: einen in den USA und einen im Vereinigten Königreich. Für jede Website ist eine eigene Active Directory-Konfiguration erforderlich. Konfigurieren Sie dazu zwei Instanzen der Active Directory-Integration in derselben Umgebung. Dadurch kann das Playbook zur Laufzeit dynamisch die passende Instanz auswählen.

Integration installieren

  1. Rufen Sie den Google SecOps Marketplace > Integrationen auf.
  2. Suchen Sie nach der erforderlichen Integration. Verwenden Sie für dieses Beispiel Active Directory.
  3. Klicken Sie auf Installieren, um die Integration hinzuzufügen.

Instanz konfigurieren

  1. Rufen Sie Antwort > Einrichtung der Integrationen auf.
  2. Wählen Sie in der Liste Umgebungen die Umgebung aus, in der Sie eine Instanz erstellen möchten. Verwenden Sie für dieses Beispiel Standardumgebung.
  3. Klicken Sie auf Hinzufügen Neue Instanz erstellen.
  4. Wählen Sie im Dialogfeld Instanz hinzufügen die gewünschte Integration aus der Liste aus und klicken Sie auf Speichern. Wählen Sie in diesem Beispiel Active Directory aus.
  5. Rufen Sie die gewünschte Integration auf und klicken Sie auf Einstellungen Instanz konfigurieren.
  6. Geben Sie die entsprechenden Konfigurationsinformationen ein. In diesem Beispiel konfigurieren Sie die Instanz für Nutzer auf der US-Website.
  7. Klicken Sie abschließend auf Speichern.
  8. Optional: Klicken Sie auf Testen, um zu prüfen, ob die Konfiguration funktioniert.
  9. Fügen Sie eine weitere Instanz von Active Directory hinzu. In diesem Beispiel wird sie für Nutzer auf der Website für das Vereinigte Königreich konfiguriert. Klicken Sie nach Abschluss der Konfiguration auf Speichern.
  10. Sie können später bei Bedarf Änderungen vornehmen. Nach der Konfiguration können die Instanzen in Playbooks verwendet werden.

Instanz in Playbooks verwenden

  1. Rufen Sie Playbooks auf und klicken Sie auf add Neues Playbook oder Block hinzufügen, um ein neues Playbook zu erstellen.
  2. Wählen Sie den entsprechenden Ordner aus. Wählen Sie für dieses Beispiel Standardumgebung aus.
  3. Wählen Sie unter Aktionen und ActiveDirectory die Option Entitäten anreichern aus.
  4. Ziehen Sie die Aktion in einen Schritt und doppelklicken Sie darauf, um den Konfigurationsbereich zu öffnen.
  5. Wählen Sie im Feld Instanz auswählen die entsprechende Instanz aus, entweder die US- oder die UK-Website, je nach Ziel des Playbooks. 

Anwendungsfall 2: Dynamischer Modus in mehreren Umgebungen

In diesem Szenario unterstützen Sie als MSSP mehrere Kunden, die jeweils in einer separaten Umgebung definiert sind. Zur Laufzeit sollte das Playbook dynamisch ermitteln, welche Umgebung verwendet werden soll, je nachdem, wo der Fall entstanden ist.

Umgebungen definieren

  1. Gehen Sie zu Einstellungen> Organisation > Umgebungen.
  2. Klicken Sie auf Hinzufügen Umgebung hinzufügen und definieren Sie die erforderliche Umgebung mit den Parametern für die Umgebung.
  3. Erstellen Sie mehrere neue Umgebungen, eine für jeden Kunden.

Integration installieren

  1. Rufen Sie den Google SecOps Marketplace > Integrationen auf.
  2. Suchen Sie nach der erforderlichen Integration. Wählen Sie für dieses Beispiel VirusTotal aus und installieren Sie die App.

Instanzen konfigurieren

  1. Gehen Sie zu Antwort > Einrichtung von Integrationen, wählen Sie die einzelnen Kunden aus und klicken Sie auf Konfigurieren.
  2. Richten Sie die VirusTotal-Integrationsinstanz entsprechend Ihren Anforderungen ein.

Playbook einrichten

Wählen Sie beim Hinzufügen der Aktion „VirusTotal Ping“ den dynamischen Modus aus. So wird sichergestellt, dass Google SecOps die Umgebung zur Laufzeit basierend darauf ermittelt, wo der Fall entstanden ist, und die entsprechende Integrationsinstanz anwendet.

  1. Rufen Sie die Seite Playbooks auf.
  2. Erstellen Sie ein neues Playbook und wählen Sie die Umgebungen aus, die Sie zuvor erstellt und konfiguriert haben.
  3. Wählen Sie beim Hinzufügen der Aktion „VirusTotal Ping“ den dynamischen Modus aus. So wird sichergestellt, dass Google SecOps zur Laufzeit prüft, aus welcher Umgebung der Fall stammt, und die entsprechende Instanz darauf anwendet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten