支持多个实例

支持:

您可以在同一环境中配置同一集成的多个实例。借助此功能,您在创建和运行 playbook 时可以获得更大的灵活性和控制权。例如,您可以为拥有两个网站的客户构建一个 playbook,每个网站使用单独的 Active Directory, 然后为每个 playbook 步骤选择适当的集成实例。

此功能在响应 > 集成设置 中配置,并受 playbook 步骤中的选择实例 字段和多选环境选项的支持。

查看集成选项

集成 页面上,列出了两个预定义选项:

  • 共享实例
  • 默认环境

共享实例 充当配置的集成库,您可以在所有环境中使用这些集成。

共享实例 部分包含默认情况下可用的预定义 Google SecOps 集成。

您在设置 > 组织 > 环境 中创建的任何环境都会显示在环境列表中。

您可以过滤环境的显示,也可以隐藏 空环境。企业客户通常使用 默认环境。

添加和配置集成实例

  1. 添加环境。在集成设置 页面上,首先选择或添加您要配置集成的环境。
  2. 创建新实例。点击 “添加”图标 创建新实例
  3. 从列表中选择集成,然后输入该特定实例所需的参数。注意:您必须先配置实例,然后才能在 playbook 中使用它。
    • 如需在同一环境中配置同一集成的第二个实例,请重复此过程。
    • 如需稍后修改或重新配置实例,请点击集成旁边的 “设置”图标 配置实例

选择环境

创建新 playbook 时,可以使用多选环境功能。前往 Playbooks 页面即可查看。 请执行以下操作之一:
  • 选择所有环境以在系统中定义的所有 环境上运行 playbook。
  • 选择一个或多个环境,以便在这些环境中运行 playbook。

选择多个或所有环境会限制可为 playbook 步骤配置的实例类型。下文将对此进行更详细的说明。

在 playbook 中使用实例

在 playbook 中添加使用集成的步骤时,配置实例 字段中的选项取决于:

  • 您创建了哪些实例
  • 您为 playbook 选择的环境

单个环境

如果您选择单个环境,则可以使用配置实例 字段选择以下任一选项:

  • 您为所选环境中该特定操作配置的实例。
  • 共享实例集成(如果有)。

多个环境或所有环境

如果您选择多个环境(或所有环境 ),则配置实例 中的第一个选项是动态模式

动态模式

动态模式是指,当 playbook 附加到案例时,Google SecOps 会尝试访问为与该案例关联的环境配置的集成实例。

后备实例

后备实例 字段是可选字段。如果选择了动态模式 且未为特定环境配置任何实例,您可以从共享实例中选择后备实例。此选项适用于在所有环境中运行的 playbook。

如果没有合适的实例且未配置任何后备实例,则会发生以下情况:

  • 操作失败,除非操作设置为在失败时跳过。
  • 对于可能希望在客户没有特定工具的许可时跳过步骤的托管安全服务提供商 (MSSP),使用 skip if failed 尤其有用。

如果为案例环境配置了多个实例,则不会使用后备实例。在这种情况下,playbook 将暂停并提示分析师手动选择适当的实例。

使用情形 1:默认环境中的两个实例

此场景涉及一个分为两个站点的企业网络:一个在美国,一个在英国。 每个站点都需要不同的 Active Directory 配置。为了支持这一点, 请在同一环境中配置两个 Active Directory 集成实例。 这样,playbook 就可以在运行时动态选择适当的实例。

安装集成

  1. 前往内容中心 > 响应集成
  2. 搜索所需的集成。在本示例中,使用 Active Directory
  3. 点击安装 以添加集成。

配置实例

  1. 前往响应 > 集成设置
  2. 环境列表中,选择您要创建实例的环境。在本示例中,使用Default Environment
  3. 点击 添加 创建新实例
  4. 添加实例 对话框中,从 列表中选择所需的集成,然后点击保存。在本示例中,选择 Active Directory
  5. 前往所需的集成,然后点击 设置 配置实例
  6. 输入相关配置信息。 在本示例中,为美国站点的用户配置实例。
  7. 完成后,请点击保存
  8. 可选:点击测试 以验证配置是否正常运行。
  9. 添加 Active Directory 的另一个实例。在本示例中, 为英国站点的用户配置该实例。配置完成后,点击保存
  10. 您可以稍后根据需要进行更改。配置完成后,这些实例即可在 playbook 中使用。

在 playbook 中使用实例

  1. 前往 Playbooks ,然后点击 添加 添加新 playbook 或代码块 以创建新 playbook。
  2. 选择相关文件夹。在本示例中,选择默认环境
  3. ActionsActiveDirectory 下,选择 Enrich entities
  4. 将操作拖到步骤中,然后双击该操作以打开配置面板。
  5. 选择实例 字段中,根据 playbook 的目标选择适当的实例(美国站点或英国站点)。 

使用情形 2:多环境中的动态模式

在此场景中,作为 MSSP,您支持多个客户,每个客户都在单独的环境中定义。在运行时,playbook 应根据案例的来源动态确定要使用的环境。

定义环境

  1. 前往设置 > 组织 > 环境
  2. 点击 添加 添加环境,然后使用环境的 参数定义所需的环境。
  3. 为每个客户创建一个新环境。

安装集成

  1. 前往内容中心 > 响应集成
  2. 搜索所需的集成。在本示例中,选择并安装 VirusTotal。

配置实例

  1. 前往响应 > 集成设置, 选择每个客户,然后点击配置
  2. 根据您的要求设置 VirusTotal 集成实例。

设置 playbook

添加 VirusTotal Ping 操作时,选择动态模式 。 这样可确保 Google SecOps 在运行时根据案例的来源确定环境,并应用适当的集成实例。

  1. 前往 Playbooks 页面。
  2. 创建一个新 playbook,确保选择您之前创建和配置的环境。
  3. 添加 VirusTotal Ping 操作时,选择动态模式 。这样可确保 Google SecOps 在运行时检查案例来自哪个环境 并向其应用该特定实例。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。