支援多個執行個體

支援的國家/地區:

您可以在同一個環境中設定同一個整合的多個例項。這項功能可讓您在建立及執行劇本時,享有更大的彈性和控制權。舉例來說,您可以為擁有兩個網站的客戶建立劇本,每個網站都使用個別的 Active Directory,然後為每個劇本步驟選取適當的整合執行個體。

這項功能是在「Response」>「Integrations Setup」中設定,並由劇本步驟中的每個「Choose Instance」欄位和多選環境選項支援。

查看整合選項

「整合」頁面會列出兩個預先定義的選項:

  • 共用執行個體
  • 預設環境

「共用執行個體」是已設定整合項目的程式庫,您可以在所有環境中使用。

「共用執行個體」部分包含預先定義的 Google SecOps 整合功能,預設為可用狀態。

在「設定」>「機構」>「環境」中建立的任何環境,都會顯示在環境清單中。

您可以篩選顯示的環境,或隱藏空白環境。企業客戶通常會使用預設環境。

新增及設定整合執行個體

  1. 新增環境。在「整合設定」頁面中,先選取或新增要設定整合的環境。
  2. 建立新的執行個體。按一下「新增」建立新執行個體
  3. 從清單中選取整合服務,然後輸入該特定執行個體所需的參數。注意:您必須先設定執行個體,才能在劇本中使用。
    • 如要在相同環境中設定相同整合的第二個執行個體,請重複上述程序。
    • 如要稍後編輯或重新設定執行個體,請按一下整合旁邊的「設定」「設定執行個體」。

選取一個環境

建立新劇本時,即可使用多重選取環境功能。前往「Playbooks」(劇本) 頁面即可查看。 執行下列任一操作:
  • 選取「所有環境」,在系統中定義的所有環境中執行應對手冊。
  • 選取要執行應對手冊的一或多個環境。

選取多個或所有環境時,可為劇本步驟設定的執行個體類型會受到限制。詳情請見下文。

在應對手冊中使用執行個體

在劇本中新增使用整合功能的步驟時,「設定執行個體」欄位中的選項取決於:

  • 您建立的執行個體
  • 您為應對手冊選取的環境

單一環境

如果選取單一環境,您可以在「設定執行個體」欄位中選擇:

  • 您在所選環境中為該特定動作設定的執行個體。
  • 共用執行個體整合 (如有)。

多個環境或所有環境

如果選取多個環境 (或「所有環境」),「設定執行個體」中的第一個選項會是「動態模式」

動態模式

動態模式是指將劇本附加至案件時,Google SecOps 會嘗試存取為與案件相關聯環境設定的整合執行個體。

備用執行個體

「Fallback Instance」(備援執行個體) 欄位為選填。如果選取「動態模式」,且特定環境未設定任何執行個體,您可以從共用執行個體中選擇備用執行個體。這個選項適用於在所有環境中執行的應對手冊。

如果沒有合適的執行個體,且未設定備援,則會發生下列情況:

  • 除非設為在失敗時略過,否則動作會失敗。
  • 如果客戶沒有特定工具的授權,管理式安全服務供應商 (MSSP) 可能會想略過某些步驟,這時使用「skip if failed」(失敗時略過) 就特別實用。

如果為案件環境設定多個執行個體,系統就不會使用備用執行個體。在這種情況下,應對手冊會暫停,並提示分析師手動選擇適當的執行個體。

應用情境 1:預設環境中的兩個執行個體

這個情境涉及劃分為兩個站點的企業網路:一個位於美國,另一個位於英國。每個網站都需要不同的 Active Directory 設定。如要支援這項功能,請在相同環境中設定兩個 Active Directory 整合執行個體。這樣一來,應對手冊就能在執行階段動態選取適當的執行個體。

安裝整合項目

  1. 依序前往 Google SecOps Marketplace >「整合」
  2. 搜尋所需整合項目。在本範例中,請使用 Active Directory
  3. 按一下「安裝」即可新增整合功能。

設定執行個體

  1. 依序前往「回覆」>「整合設定」
  2. 在「Environments」(環境) 清單中,選取要建立執行個體的環境。在本範例中,請使用「Default Environment」
  3. 按一下「新增」 建立新執行個體
  4. 在「新增執行個體」對話方塊中,從清單選取所需整合服務,然後按一下「儲存」。在本例中,請選取「Active Directory」
  5. 前往所需整合服務,然後依序點選「設定」 「設定執行個體」
  6. 輸入相關設定資訊。 在本範例中,請為美國網站的使用者設定執行個體。
  7. 完成後,請按一下「儲存」
  8. 選用:按一下「測試」,確認設定是否正常運作。
  9. 新增另一個 Active Directory 執行個體。在本範例中,請為英國網站的使用者設定這項功能。完成設定後,按一下「儲存」
  10. 如有需要,日後可以變更。設定完成後,即可在劇本中使用這些執行個體。

在應對手冊中使用執行個體

  1. 前往「應對手冊」,然後按一下「新增」 「新增應對手冊或模塊」,即可建立新的應對手冊。
  2. 選取相關資料夾。在本例中,請選擇「Default Environment」
  3. 在「動作」的「ActiveDirectory」下方,選擇「Enrich entities」
  4. 將動作拖曳至步驟中,然後按兩下開啟設定面板。
  5. 在「選擇執行個體」欄位中,根據劇本的目標選取適當的執行個體 (美國網站或英國網站)。 

應用實例 2:多個環境中的動態模式

在這種情況下,MSSP 會支援多個客戶,每個客戶都定義在不同的環境中。在執行階段,應對手冊應根據案件的來源,動態決定要使用的環境。

定義環境

  1. 依序前往「設定」>「機構」>「環境」
  2. 按一下「新增」 新增環境,然後使用環境的參數定義必要環境。
  3. 為每位客戶各建立一個新環境。

安裝整合項目

  1. 依序前往 Google SecOps Marketplace >「整合」
  2. 搜尋所需整合項目。在本例中,請選取並安裝 VirusTotal。

設定執行個體

  1. 依序前往「Response」> Integrations Setup, 選取每位客戶,然後按一下「Configure」
  2. 根據需求設定 VirusTotal 整合執行個體。

設定應對手冊

新增 VirusTotal Ping 動作時,請選取「動態模式」。 這可確保 Google SecOps 在執行階段根據案件來源判斷環境,並套用適當的整合執行個體。

  1. 前往「Playbooks」頁面。
  2. 建立新的 Playbook,並務必選取先前建立及設定的環境。
  3. 新增 VirusTotal Ping 動作時,請選取「動態模式」。這樣一來,Google SecOps 就能在執行階段檢查案件來源環境,並套用該特定執行個體。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。