Suporte a várias instâncias

Compatível com:

É possível configurar várias instâncias da mesma integração no mesmo ambiente. Com esse recurso, você tem mais flexibilidade e controle ao criar e executar playbooks. Por exemplo, você pode criar um playbook para um cliente com dois sites, cada um usando Active Directories separados, e selecionar a instância de integração adequada para cada etapa do playbook.

Essa funcionalidade é configurada em Resposta > Configuração de integrações e é compatível com a opção Escolher instância em cada campo da etapa do playbook e com a opção de ambiente de seleção múltipla.

Ver opções de integração

Na página Integrações, duas opções predefinidas são listadas:

  • Instâncias compartilhadas
  • Ambiente padrão

As instâncias compartilhadas funcionam como uma biblioteca de integrações configuradas que podem ser usadas em todos os ambientes.

A seção Instâncias compartilhadas inclui integrações predefinidas do Google SecOps que estão disponíveis por padrão.

Todos os ambientes criados em Configurações > Organizações > Ambientes aparecem na lista de ambientes.

Você pode filtrar a exibição de ambientes ou ocultar os vazios. Normalmente, os clientes corporativos usam o ambiente padrão.

Adicionar e configurar uma instância de integração

  1. Adicione um ambiente. Na página Configuração de integrações, primeiro selecione ou adicione o ambiente em que você quer configurar a integração.
  2. Crie uma instância. Clique em Adicionar Criar uma nova instância.
  3. Selecione a integração na lista e insira os parâmetros necessários para essa instância específica. Observação: configure uma instância antes de usá-la em um playbook.
    • Para configurar uma segunda instância da mesma integração no mesmo ambiente, repita o processo.
    • Para editar ou reconfigurar uma instância depois, clique em Configurações Configurar instância ao lado da integração.

Selecione um ambiente

O recurso de ambiente de seleção múltipla está disponível ao criar um novo playbook. Acesse a página Playbooks para conferir. Faça o seguinte:
  • Selecione Todos os ambientes para executar o playbook em todos os ambientes definidos no sistema.
  • Selecione um ou mais ambientes para executar o playbook.

A seleção de vários ou todos os ambientes restringe o tipo de instância configurável para etapas de playbook. Confira uma explicação mais detalhada a seguir.

Usar a instância em um manual

Ao adicionar uma etapa em um playbook que usa uma integração, as opções no campo Configurar instância dependem de:

  • Quais instâncias você criou
  • Quais ambientes você selecionou para o playbook

Ambiente único

Se você selecionar um único ambiente, o campo Configurar instância permitirá escolher uma das seguintes opções:

  • Uma instância que você configurou para essa ação específica no ambiente selecionado.
  • Uma integração de instância compartilhada, se disponível.

Vários ambientes ou todos os ambientes

Se você selecionar vários ambientes ou Todos os ambientes, a primeira opção em Configurar instância será Modo dinâmico.

Modo dinâmico

O modo dinâmico significa que, quando o playbook é anexado a um caso, o Google SecOps tenta acessar a instância de integração configurada para o ambiente associado ao caso.

Instância alternativa

O campo Instância de substituição é opcional. Se o Modo dinâmico estiver selecionado e nenhuma instância estiver configurada para um ambiente específico, você poderá escolher uma instância alternativa entre as instâncias compartilhadas. Essa opção está disponível para playbooks executados em todos os ambientes.

Se não houver uma instância adequada e nenhum fallback estiver configurado, vai acontecer o seguinte:

  • A ação falha, a menos que esteja definida para ser ignorada em caso de falha.
  • Usar a opção Ignorar se falhar é especialmente útil para provedores de serviços de segurança gerenciados (MSSPs, na sigla em inglês) que talvez queiram pular etapas quando os clientes não têm uma licença para uma ferramenta específica.

Uma instância alternativa não é usada se mais de uma instância estiver configurada para o ambiente do caso. Nessa situação, o playbook vai pausar e pedir que o analista escolha manualmente a instância adequada.

Caso de uso 1: duas instâncias em um ambiente padrão

Este cenário envolve uma rede empresarial dividida em dois sites: um nos EUA e outro no Reino Unido. Cada site exige uma configuração diferente do Active Directory. Para isso, configure duas instâncias de integração do Active Directory no mesmo ambiente. Isso permite que o playbook selecione a instância apropriada de forma dinâmica no momento da execução.

Instalar uma integração

  1. Acesse Google SecOps Marketplace > Integrações.
  2. Pesquise a integração necessária. Neste exemplo, use Active Directory.
  3. Clique em Instalar para adicionar a integração.

Configurar uma instância

  1. Acesse Resposta > Configuração de integrações.
  2. Na lista Ambientes, selecione o ambiente em que você quer criar uma instância. Neste exemplo, use Default Environment.
  3. Clique em add Criar uma nova instância.
  4. Na caixa de diálogo Adicionar instância, selecione a integração necessária na lista e clique em Salvar. Neste exemplo, selecione Active Directory.
  5. Acesse a integração necessária e clique em settings Configurar instância.
  6. Insira as informações de configuração relevantes. Neste exemplo, configure a instância para usuários no site dos EUA.
  7. Clique em Salvar quando terminar.
  8. Opcional: clique em Testar para verificar se a configuração funciona.
  9. Adicione outra instância do Active Directory. Neste exemplo, configure para usuários no site do Reino Unido. Clique em Salvar quando a configuração estiver concluída.
  10. Você pode fazer mudanças depois, se necessário. Depois de configuradas, as instâncias ficam disponíveis para uso em playbooks.

Usar a instância em playbooks

  1. Acesse Playbooks e clique em add Adicionar novo playbook ou bloco para criar um playbook.
  2. Selecione a pasta relevante. Neste exemplo, escolha Ambiente padrão.
  3. Em Ações, em ActiveDirectory, escolha Enriquecer entidades.
  4. Arraste a ação para uma etapa e clique duas vezes nela para abrir o painel de configuração.
  5. No campo Escolher instância, selecione a instância adequada (site dos EUA ou do Reino Unido), dependendo da segmentação do playbook. 

Caso de uso 2: modo dinâmico em vários ambientes

Nesse cenário, como um MSSP, você oferece suporte a vários clientes, cada um definido em um ambiente separado. No tempo de execução, o playbook precisa determinar dinamicamente qual ambiente usar com base na origem do caso.

Definir ambientes

  1. Acesse Configurações > Organização > Ambientes.
  2. Clique em add Adicionar ambiente e defina o ambiente necessário com os parâmetros dele.
  3. Crie vários ambientes, um para cada cliente.

Instalar uma integração

  1. Acesse Google SecOps Marketplace > Integrações.
  2. Pesquise a integração necessária. Neste exemplo, selecione e instale o VirusTotal.

Configurar instâncias

  1. Acesse Resposta > Configuração de integrações, selecione cada cliente e clique em Configurar.
  2. Configure a instância de integração do VirusTotal de acordo com seus requisitos.

Configurar um playbook

Ao adicionar a ação "Ping do VirusTotal", selecione Modo dinâmico. Isso garante que o Google SecOps determine o ambiente no tempo de execução com base na origem do caso e aplique a instância de integração adequada.

  1. Acesse a página Playbooks.
  2. Crie um playbook e selecione os ambientes que você criou e configurou antes.
  3. Ao adicionar a ação "Ping do VirusTotal", selecione Modo dinâmico. Isso garante que o Google SecOps verifique de qual ambiente o caso vem no tempo de execução e aplique essa instância específica a ele.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.