Prendre en charge plusieurs instances

Compatible avec :

Vous pouvez configurer plusieurs instances de la même intégration dans le même environnement. Cette fonctionnalité vous offre plus de flexibilité et de contrôle lorsque vous créez et exécutez des playbooks. Par exemple, vous pouvez créer un playbook pour un client disposant de deux sites, chacun utilisant des annuaires Active Directory distincts, puis sélectionner l'instance d'intégration appropriée pour chaque étape du playbook.

Cette fonctionnalité est configurée dans Réponse > Configuration des intégrations et est compatible avec l'option Choisir une instance pour chaque champ de l'étape du playbook et l'option d'environnement à sélection multiple.

Afficher les options d'intégration

Sur la page Intégrations, deux options prédéfinies sont listées :

  • Instances partagées
  • Environnement par défaut

Les instances partagées servent de bibliothèque d'intégrations configurées que vous pouvez utiliser dans tous les environnements.

La section Instances partagées inclut les intégrations Google SecOps prédéfinies qui sont disponibles par défaut.

Tous les environnements que vous créez dans Paramètres > Organisations > Environnements s'affichent dans la liste des environnements.

Vous pouvez filtrer l'affichage des environnements ou masquer ceux qui sont vides. Les clients Enterprise utilisent généralement l'environnement par défaut.

Ajouter et configurer une instance d'intégration

  1. Ajoutez un environnement. Sur la page Configuration des intégrations, commencez par sélectionner ou ajouter l'environnement dans lequel vous souhaitez configurer l'intégration.
  2. Créez une instance. Cliquez sur Ajouter Créer une instance.
  3. Sélectionnez l'intégration dans la liste et saisissez les paramètres requis pour cette instance spécifique. Remarque : Vous devez configurer une instance avant de l'utiliser dans un playbook.
    • Pour configurer une deuxième instance de la même intégration dans le même environnement, répétez la procédure.
    • Pour modifier ou reconfigurer une instance ultérieurement, cliquez sur Paramètres Configurer l'instance à côté de l'intégration.

Sélectionnez un environnement

La fonctionnalité d'environnement à sélection multiple est disponible lorsque vous créez un playbook. Pour le voir, accédez à la page Playbooks. Effectuez l'une des opérations suivantes :
  • Sélectionnez Tous les environnements pour exécuter le playbook sur tous les environnements définis dans le système.
  • Sélectionnez un ou plusieurs environnements sur lesquels exécuter le playbook.

La sélection de plusieurs environnements ou de tous les environnements limite le type d'instance configurable pour les étapes du playbook. Vous trouverez ci-dessous une explication plus détaillée.

Utiliser l'instance dans un playbook

Lorsque vous ajoutez une étape à un playbook qui utilise une intégration, les options du champ Configurer l'instance dépendent des éléments suivants :

  • Les instances que vous avez créées
  • les environnements que vous avez sélectionnés pour le playbook ;

Environnement unique

Si vous sélectionnez un seul environnement, le champ Configurer l'instance vous permet de choisir l'une des options suivantes :

  • Instance que vous avez configurée pour cette action spécifique dans l'environnement sélectionné.
  • Une intégration d'instance partagée, si elle est disponible.

Plusieurs environnements ou tous les environnements

Si vous sélectionnez plusieurs environnements ou Tous les environnements, la première option de Configurer l'instance est Mode dynamique.

Mode dynamique

Le mode dynamique signifie que lorsque le playbook est associé à une demande, Google SecOps tente d'accéder à l'instance d'intégration configurée pour l'environnement associé à la demande.

Instance de secours

Le champ Instance de secours est facultatif. Si le mode dynamique est sélectionné et qu'aucune instance n'est configurée pour un environnement spécifique, vous pouvez choisir une instance de secours parmi les instances partagées. Cette option est disponible pour les playbooks qui s'exécutent dans tous les environnements.

Si aucune instance appropriée n'existe et qu'aucune solution de remplacement n'est configurée, voici ce qui se passe :

  • L'action échoue, sauf si elle est définie sur "Ignorer en cas d'échec".
  • L'option skip if failed (ignorer en cas d'échec) est particulièrement utile pour les fournisseurs de services de sécurité gérés (MSSP, Managed Security Service Provider) qui souhaitent ignorer des étapes lorsque les clients ne disposent pas d'une licence pour un outil spécifique.

Une instance de secours n'est pas utilisée si plusieurs instances sont configurées pour l'environnement de requête. Dans ce cas, le playbook sera mis en pause et l'analyste sera invité à choisir manuellement l'instance appropriée.

Cas d'utilisation 1 : Deux instances dans un environnement par défaut

Ce scénario implique un réseau d'entreprise divisé en deux sites : un aux États-Unis et un au Royaume-Uni. Chaque site nécessite une configuration Active Directory distincte. Pour ce faire, configurez deux instances d'intégration Active Directory dans le même environnement. Cela permet au playbook de sélectionner l'instance appropriée de manière dynamique lors de l'exécution.

Installer une intégration

  1. Accédez à Google SecOps Marketplace > Intégrations.
  2. Recherchez l'intégration requise. Pour cet exemple, utilisez Active Directory.
  3. Cliquez sur Installer pour ajouter l'intégration.

Configurer une instance

  1. Accédez à Réponse > Configuration des intégrations.
  2. Dans la liste Environnements, sélectionnez l'environnement dans lequel vous souhaitez créer une instance. Pour cet exemple, utilisez Environnement par défaut.
  3. Cliquez sur add Créer une instance.
  4. Dans la boîte de dialogue Ajouter une instance, sélectionnez l'intégration requise dans la liste, puis cliquez sur Enregistrer. Dans cet exemple, sélectionnez Active Directory.
  5. Accédez à l'intégration requise, puis cliquez sur settings Configure Instance (Paramètres > Configurer l'instance).
  6. Saisissez les informations de configuration pertinentes. Pour cet exemple, configurez l'instance pour les utilisateurs du site américain.
  7. Lorsque vous avez terminé, cliquez sur Enregistrer.
  8. Facultatif : Cliquez sur Tester pour vérifier que la configuration fonctionne.
  9. Ajoutez une autre instance d'Active Directory. Dans cet exemple, configurez-le pour les utilisateurs du site au Royaume-Uni. Cliquez sur Enregistrer une fois la configuration terminée.
  10. Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois configurées, les instances peuvent être utilisées dans les playbooks.

Utiliser l'instance dans les playbooks

  1. Accédez à Playbooks, puis cliquez sur add Ajouter un playbook ou un bloc pour créer un playbook.
  2. Sélectionnez le dossier concerné. Pour cet exemple, sélectionnez Environnement par défaut.
  3. Dans Actions, sous ActiveDirectory, sélectionnez Enrichir les entités.
  4. Faites glisser l'action dans une étape, puis double-cliquez dessus pour ouvrir le panneau de configuration.
  5. Dans le champ Choisir une instance, sélectionnez l'instance appropriée (site américain ou britannique) en fonction de la cible du playbook. 

Cas d'utilisation n° 2 : Mode dynamique dans plusieurs environnements

Dans ce scénario, en tant que MSSP, vous assistez plusieurs clients, chacun défini dans un environnement distinct. Lors de l'exécution, le playbook doit déterminer de manière dynamique l'environnement à utiliser en fonction de l'origine de la demande.

Définir des environnements

  1. Accédez à Paramètres> Organisation> Environnements.
  2. Cliquez sur add Add Environment (Ajouter un environnement) et définissez l'environnement requis avec les paramètres correspondants.
  3. Créez plusieurs environnements, un pour chaque client.

Installer une intégration

  1. Accédez à Google SecOps Marketplace > Intégrations.
  2. Recherchez l'intégration requise. Pour cet exemple, sélectionnez et installez VirusTotal.

Configurer les instances

  1. Accédez à Réponse > Configuration des intégrations, sélectionnez chaque client, puis cliquez sur Configurer.
  2. Configurez l'instance d'intégration VirusTotal en fonction de vos besoins.

Configurer un playbook

Lorsque vous ajoutez l'action "Ping VirusTotal", sélectionnez Mode dynamique. Cela permet à Google SecOps de déterminer l'environnement au moment de l'exécution en fonction de l'origine de la demande et d'appliquer l'instance d'intégration appropriée.

  1. Accédez à la page Playbooks.
  2. Créez un playbook en veillant à sélectionner les environnements que vous avez créés et configurés précédemment.
  3. Lorsque vous ajoutez l'action "Ping VirusTotal", sélectionnez Mode dynamique. Cela permet à Google SecOps de vérifier l'environnement d'origine de la demande au moment de l'exécution et d'appliquer cette instance spécifique.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.