Assistance pour plusieurs instances

Compatible avec :

Vous pouvez configurer plusieurs instances de la même intégration dans le même environnement. Cette fonctionnalité vous offre plus de flexibilité et de contrôle lorsque vous créez et exécutez des playbooks. Par exemple, vous pouvez créer un playbook pour un client disposant de deux sites, chacun utilisant des annuaires Active Directory distincts, puis sélectionner l'instance d'intégration appropriée pour chaque étape du playbook.

Cette fonctionnalité est configurée dans Response > Integrations Setup (Réponse > Configuration des intégrations). Elle est compatible avec le champ Choose Instance (Choisir une instance) de l'étape du playbook et avec l'option d'environnement à sélection multiple.

Afficher les options d'intégration

Deux options prédéfinies sont listées sur la page Integrations (Intégrations) :

  • Shared Instances (Instances partagées)
  • Default Environment (Environnement par défaut)

Shared Instances (Instances partagées) fait office de bibliothèque d'intégrations configurées que vous pouvez utiliser dans tous les environnements.

La section Shared Instances (Instances partagées) inclut des intégrations Google SecOps prédéfinies qui sont disponibles par défaut.

Tous les environnements que vous créez dans Settings > Organizations > Environments (Paramètres > Organisations > Environnements) s'affichent dans la liste des environnements.

Vous pouvez filtrer l'affichage des environnements ou masquer ceux qui sont vides. Les clients Enterprise utilisent généralement l'environnement par défaut.

Ajouter et configurer une instance d'intégration

  1. Ajoutez un environnement. Sur la page Integrations Setup (Configuration des intégrations), sélectionnez ou ajoutez d'abord l'environnement dans lequel vous souhaitez configurer l'intégration.
  2. Créez une instance. Cliquez sur Ajouter Create a new instance (Créer une instance).
  3. Sélectionnez l'intégration dans la liste et saisissez les paramètres requis pour cette instance spécifique. Remarque : Vous devez configurer une instance avant de l'utiliser dans un playbook.
    • Pour configurer une deuxième instance de la même intégration dans le même environnement, répétez le processus.
    • Pour modifier ou reconfigurer une instance ultérieurement, cliquez sur Paramètres Configure Instance (Configurer l'instance) à côté de l'intégration.

Sélectionner un environnement

La fonctionnalité d'environnement à sélection multiple est disponible lorsque vous créez un playbook. Accédez à la page Playbooks (Playbooks) pour la voir. Effectuez l'une des opérations suivantes :
  • Sélectionnez All Environments (Tous les environnements) pour exécuter le playbook dans tous les environnements définis dans le système.
  • Sélectionnez un ou plusieurs environnements dans lesquels exécuter le playbook.

La sélection de plusieurs environnements ou de tous les environnements limite le type d'instance configurable pour les étapes du playbook. Vous trouverez ci-dessous une explication plus détaillée.

Utiliser l'instance dans un playbook

Lorsque vous ajoutez une étape dans un playbook qui utilise une intégration, les options du champ Configure Instance (Configurer l'instance) dépendent des éléments suivants :

  • Les instances que vous avez créées
  • Les environnements que vous avez sélectionnés pour le playbook

Environnement unique

Si vous sélectionnez un seul environnement, le champ Configure Instance (Configurer l'instance) vous permet de choisir l'une des options suivantes :

  • Une instance que vous avez configurée pour cette action spécifique dans l'environnement sélectionné.
  • Une intégration d'instance partagée, si elle est disponible.

Plusieurs environnements ou tous les environnements

Si vous sélectionnez plusieurs environnements ou All Environments (Tous les environnements), la première option de Configure Instance (Configurer l'instance) est Dynamic Mode (Mode dynamique).

Mode dynamique

Le mode dynamique signifie que lorsque le playbook est associé à un cas, Google SecOps tente d'accéder à l'instance d'intégration configurée pour l'environnement associé au cas.

Instance de secours

Le champ Fallback Instance (Instance de secours) est facultatif. Si le Dynamic Mode (Mode dynamique) est sélectionné et qu'aucune instance n'est configurée pour un environnement spécifique, vous pouvez choisir une instance de secours parmi les instances partagées. Cette option est disponible pour les playbooks qui s'exécutent dans tous les environnements.

Si aucune instance appropriée n'existe et qu'aucune instance de secours n'est configurée, les événements suivants se produisent :

  • L'action échoue, sauf si elle est configurée pour être ignorée en cas d'échec.
  • L'option skip if failed (Ignorer en cas d'échec) est particulièrement utile pour les fournisseurs de services de sécurité gérés (MSSP) qui souhaitent ignorer des étapes lorsque les clients ne disposent pas d'une licence pour un outil spécifique.

Une instance de secours n'est pas utilisée si plusieurs instances sont configurées pour l'environnement du cas. Dans ce cas, le playbook s'interrompt et invite l'analyste à choisir manuellement l'instance appropriée.

Cas d'utilisation n° 1 : deux instances dans un environnement par défaut

Ce scénario implique un réseau d'entreprise divisé en deux sites : un aux États-Unis et un au Royaume-Uni. Chaque site nécessite une configuration Active Directory distincte. Pour ce faire, configurez deux instances d'intégration Active Directory dans le même environnement. Cela permet au playbook de sélectionner l'instance appropriée de manière dynamique lors de l'exécution.

Installer une intégration

  1. Accédez à Content Hub > Response Integrations (Centre de contenu > Intégrations de réponse).
  2. Recherchez l'intégration requise. Pour cet exemple, utilisez Active Directory.
  3. Cliquez sur Install (Installer) pour ajouter l'intégration.

Configurer une instance

  1. Accédez à Response > Integrations Setup (Réponse > Configuration des intégrations).
  2. Dans la liste Environments (Environnements), sélectionnez l'environnement dans lequel vous souhaitez créer une instance. Pour cet exemple, utilisez Default Environment.
  3. Cliquez sur Ajouter Create a new instance (Créer une instance).
  4. Dans la boîte de dialogue Add Instance (Ajouter une instance), sélectionnez l'intégration requise dans la liste, puis cliquez sur Save (Enregistrer). Dans cet exemple, sélectionnez Active Directory.
  5. Accédez à l'intégration requise, puis cliquez sur Paramètres Configure Instance (Configurer l'instance).
  6. Saisissez les informations de configuration pertinentes. Pour cet exemple, configurez l'instance pour les utilisateurs du site américain.
  7. Lorsque vous avez terminé, cliquez sur Save (Enregistrer).
  8. Facultatif : Cliquez sur Test (Tester) pour vérifier que la configuration fonctionne.
  9. Ajoutez une autre instance d'Active Directory. Dans cet exemple, configurez-la pour les utilisateurs du site britannique. Cliquez sur Save (Enregistrer) une fois la configuration terminée.
  10. Vous pourrez modifier votre choix ultérieurement si nécessaire. Une fois configurées, les instances peuvent être utilisées dans les playbooks.

Utiliser l'instance dans les playbooks

  1. Accédez à Playbooks (Playbooks), puis cliquez sur Ajouter Add New Playbook or Block (Ajouter un playbook ou un bloc) pour créer un playbook.
  2. Sélectionnez le dossier approprié. Pour cet exemple, sélectionnez Default Environment (Environnement par défaut).
  3. Dans Actions, sous ActiveDirectory, sélectionnez Enrich entities (Enrichir les entités).
  4. Faites glisser l'action dans une étape, puis double-cliquez dessus pour ouvrir le panneau de configuration.
  5. Dans le champ Choose Instance (Choisir une instance), sélectionnez l'instance appropriée (site américain ou britannique) en fonction de la cible du playbook. 

Cas d'utilisation n° 2 : mode dynamique dans plusieurs environnements

Dans ce scénario, en tant que MSSP, vous assistez plusieurs clients, chacun défini dans un environnement distinct. Lors de l'exécution, le playbook doit déterminer de manière dynamique l'environnement à utiliser en fonction de l'origine du cas.

Définir des environnements

  1. Accédez à Settings > Organization > Environments (Paramètres > Organisation > Environnements).
  2. Cliquez sur Ajouter Add Environment (Ajouter un environnement), puis définissez l'environnement requis avec les paramètres correspondants.
  3. Créez plusieurs environnements, un pour chaque client.

Installer une intégration

  1. Accédez à Content Hub > Response Integrations (Centre de contenu > Intégrations de réponse).
  2. Recherchez l'intégration requise. Pour cet exemple, sélectionnez et installez VirusTotal.

Configurer des instances

  1. Accédez à Response > Integrations Setup, sélectionnez chaque client, puis cliquez sur Configure.
  2. Configurez l'instance d'intégration VirusTotal en fonction de vos besoins.

Configurer un playbook

Lorsque vous ajoutez l'action VirusTotal Ping, sélectionnez Dynamic Mode (Mode dynamique). Ainsi, Google SecOps détermine l'environnement lors de l'exécution en fonction de l'origine du cas et applique l'instance d'intégration appropriée.

  1. Accédez à la page Playbooks (Playbooks).
  2. Créez un playbook en veillant à sélectionner les environnements que vous avez créés et configurés précédemment.
  3. Lorsque vous ajoutez l'action VirusTotal Ping, sélectionnez Dynamic Mode (Mode dynamique). Ainsi, Google SecOps vérifie l'environnement d'origine du cas lors de l'exécution et lui applique cette instance spécifique.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.