寫入工作
支援的國家/地區:
Google SecOps
SOAR
「Jobs Scheduler」(工作排程器) 頁面包含預設的 Google Security Operations 工作,以及在 IDE 中建立的工作,這些工作是可排程定期執行的指令碼。工作可以存取所有環境中的資料。
系統提供下列預先定義的工作:
| 選項 | 說明 |
|---|---|
| 動作監控 | 如果特定動作在所有執行案例中至少失敗三次,系統就會傳送通知 (至內容中心 Siemplify 整合設定中預先定義的電子郵件地址)。 |
| 案件收集器資料庫 | 從發布商提取快訊,然後傳送至 ETL 進行擷取。這項工作是自動佈建,不應建立、停用或編輯。 |
| Google Chronicle 警報建立工具工作 | 將非 Chronicle SIEM 的 SOAR 快訊同步回 Chronicle SIEM。 |
| Google Chronicle 同步處理工作 | 將案件中繼資料同步回 SIEM,以便將擷取至 SOAR 的 SIEM 警告傳送回 SIEM。 |
| 記錄收集器 | 從不支援 Cloud Logging 的舊版代理程式提取記錄,並允許從平台下載。這項工作是自動佈建,不應建立、停用或編輯。 |
設定新工作
您必須先在 IDE 中建立新工作的指令碼,才能設定該工作。如需在 IDE 中建立作業的詳細操作說明,請參閱「使用 IDE」。
如要設定工作,請按照下列步驟操作:
- 在左側導覽面板中,依序前往「回應」>「工作排程器」。 系統隨即會顯示「Jobs Scheduler」(工作排程器) 頁面。
- 選取「新增」 建立新工作。
- 在 IDE 中選取您建立的工作。
- 選用:勾選「Remote Agent」核取方塊。
- 按一下 [儲存]。
- 按一下工作即可開啟屬性。
- 在「Job Scheduler」(工作排程器) 部分,選取「Schedule Type」(排程類型):
- 基本:以間隔為準的排程 (例如每 5 分鐘)。
- 進階:提供類似日曆的選項,可更精準地控制。詳情請參閱「進階排程」。
- 按一下「儲存」,完成工作建立程序。
- 選用:按一下「立即執行」,立即執行指令碼。
設定並儲存工作排程後,「工作排程器」頁面會以當地時區顯示「下次執行工作」的日期和時間。
刪除工作
您可以在「工作排程器」頁面中刪除不再需要的工作。
如要刪除工作,請按照下列步驟操作:
- 依序前往「回應」>「工作排程器」。
- 選取要刪除的工作。
- 按一下「更多」圖示 more_vert 「選單」,然後選取「刪除工作」。
- 看到提示時,確認刪除。
進階排程
如果選取「進階」做為排程類型,可以使用下列選項設定工作:
- 執行一次:排定工作在未來指定日期和時間執行一次。
- 每天:安排工作在每天的同一時間執行。
- 每週:設定工作在一週的特定幾天執行。
- 每月:排定工作在每月的特定日期執行。
- 如果選取的日期 (例如 29、30 或 31 日) 在特定月份不存在,系統就會略過該月份的工作。
如果是每隔 X 個間隔重複的週期性活動,開始日期會設定第一個間隔。第一個間隔是開始日期當天/當週/當月 (無論是否實際執行),第二個間隔則是 X 天/週/月後。
舉例來說,假設您排定每隔兩週的週一和週三執行工作,並從週二開始,系統會在週三執行工作,然後跳過一週,接著從下週開始,每隔兩週的週一和週三執行工作。
此外,請設定下列參數:
- 執行時間:指定工作執行的確切時段。
- 時區:您可以為工作排程指定時區。無論您的個人使用者偏好時區或平台的預設時區為何,工作都會按照您設定的時區時間執行。在工作設定期間,從提供的選單中選取相關時區。
- 開始時間:選取工作排程的開始日期和時間 (必須在未來)。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。