支持多个实例

支持的平台:

您可以在同一环境中配置同一集成的多个实例。此功能可让您在创建和运行剧本时更加灵活地进行控制。例如,您可以为拥有两个网站(每个网站使用单独的 Active Directory)的客户构建剧本,然后为每个剧本步骤选择合适的集成实例。

此功能在响应 > 集成设置中配置,并受剧本步骤中的选择实例每个字段和多选环境选项的支持。

查看集成选项

集成页面上,系统会列出两个预定义选项:

  • 共享实例
  • 默认环境

共享实例充当配置的集成库,您可以在所有环境中使用这些集成。

共享实例部分包含默认可用的预定义 Google SecOps 集成。

您在设置 > 组织 > 环境中创建的任何环境都会显示在环境列表中。

您可以过滤环境的显示,或隐藏空环境。企业客户通常使用默认环境。

添加和配置集成实例

  1. 添加环境。在集成设置页面上,首先选择或添加要配置集成的环境。
  2. 创建新实例。点击添加 创建新实例
  3. 从列表中选择集成,然后输入相应实例所需的参数。注意:您必须先配置实例,然后才能在 playbook 中使用该实例。
    • 如需在同一环境中配置同一集成方案的第二个实例,请重复上述流程。
    • 如需稍后修改或重新配置实例,请点击集成旁边的设置 配置实例

选择环境

创建新剧本时,可以使用多选环境功能。前往剧本页面即可查看。 执行以下某项操作:
  • 选择所有环境,以在系统中定义的所有环境中运行 playbook。
  • 选择一个或多个要运行策略方案的环境。

选择多个或所有环境会限制可为 playbook 步骤配置的实例类型。下文将进行更详细的说明。

在 playbook 中使用实例

在剧本中添加使用集成功能的步骤时,配置实例字段中的选项取决于:

  • 您创建的实例
  • 您为 playbook 选择的环境

单个环境

如果您选择单个环境,则可以通过配置实例字段选择以下任一选项:

  • 您在所选环境中为相应特定操作配置的实例。
  • 共享实例集成(如果有)。

多个环境或所有环境

如果您选择多个环境(或所有环境),配置实例中的第一个选项是动态模式

动态模式

动态模式是指,当剧本附加到支持请求时,Google SecOps 会尝试访问为与支持请求关联的环境配置的集成实例。

后备实例

回退实例字段为选填字段。如果选择了动态模式,但未为特定环境配置任何实例,您可以从共享实例中选择后备实例。此选项适用于在所有环境中运行的 playbook。

如果没有合适的实例且未配置回退,则会发生以下情况:

  • 操作失败 - 除非设置为“如果失败则跳过”。
  • 使用失败时跳过对于可能希望在客户没有特定工具的许可时跳过相应步骤的 MSSP(托管安全服务提供商)尤其有用。

如果为案例环境配置了多个实例,则不会使用后备实例。在这种情况下,playbook 将暂停并提示分析师手动选择合适的实例。

使用情形 1:默认环境中的两个实例

此场景涉及一个分为两个站点的企业网络:一个位于美国,另一个位于英国。 每个网站都需要不同的 Active Directory 配置。为了支持此功能,请在同一环境中配置两个 Active Directory 集成实例。 这样,playbook 就可以在运行时动态选择合适的实例。

安装集成

  1. 前往 Google SecOps Marketplace > 集成
  2. 搜索所需的集成。在此示例中,我们使用 Active Directory
  3. 点击安装以添加集成。

配置实例

  1. 前往响应 > 集成设置
  2. 环境列表中,选择要创建实例的环境。在此示例中,请使用默认环境
  3. 点击 添加 图标 创建新实例
  4. 添加实例对话框中,从列表中选择所需的集成,然后点击保存。在此示例中,选择 Active Directory
  5. 前往所需集成,然后依次点击 设置 配置实例
  6. 输入相关配置信息。 在此示例中,为美国网站中的用户配置实例。
  7. 完成后,请点击保存
  8. 可选:点击测试以验证配置是否正常运行。
  9. 添加另一个 Active Directory 实例。在此示例中, 为英国网站中的用户配置了该功能。配置完成后,点击保存
  10. 如果需要,您以后可以进行更改。配置完成后,这些实例即可在 playbook 中使用。

在 playbook 中使用实例

  1. 前往 Playbook,然后点击 添加 图标 Add New Playbook or Block 以创建新的 playbook。
  2. 选择相关文件夹。在此示例中,选择默认环境
  3. 操作ActiveDirectory 下,选择丰富实体
  4. 将操作拖动到某个步骤中,然后双击该操作以打开配置面板。
  5. 选择实例字段中,根据剧本的目标选择相应的实例(美国网站或英国网站)。 

使用情形 2:多环境中的动态模式

在此场景中,作为 MSSP,您支持多个客户,每个客户都在单独的环境中定义。在运行时,playbook 应根据案例的来源动态确定要使用的环境。

定义环境

  1. 依次前往设置 > 组织 > 环境
  2. 点击 添加 添加环境,然后使用环境的参数定义所需的环境。
  3. 创建多个新环境,分别对应每个客户。

安装集成

  1. 前往 Google SecOps Marketplace > 集成
  2. 搜索所需的集成。在此示例中,选择并安装 VirusTotal。

配置实例

  1. 依次前往 Response > Integrations Setup, 选择每个客户,然后点击 Configure
  2. 根据您的要求设置 VirusTotal 集成实例。

设置 playbook

添加 VirusTotal Ping 操作时,请选择动态模式。 这样可确保 Google SecOps 在运行时根据支持请求的来源确定环境,并应用相应的集成实例。

  1. 前往 Playbooks 页面。
  2. 创建新的 playbook,确保选择您之前创建和配置的环境。
  3. 添加 VirusTotal Ping 操作时,请选择动态模式。这样可确保 Google SecOps 在运行时检查问题来自哪个环境,并将该特定实例应用于问题。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。