Erste Automatisierung erstellen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Ihre erste Automatisierung mit den Aktionen erstellen, die Sie unter Benutzerdefinierte Aktionen erstellen erstellt haben.

Das Playbook, das Sie erstellen, ist für einen einfachen Phishing-Anwendungsfall vorgesehen und automatisiert die folgenden Schritte:

  • Domaindetails extrahieren: Das Playbook extrahiert die Domain aus einer URL, die in einer Benachrichtigung gefunden wurde.
  • Domain anreichern: Die Einheit wird dann mit zusätzlichen Informationen angereichert.
  • Insight hinzufügen: Dem Playbook wird ein Insight mit dem Land der Domain hinzugefügt.
  • Benutzerdefinierte Liste prüfen: Es wird geprüft, ob das Land in einer benutzerdefinierten Liste enthalten ist.
  • IF-Bedingung verwenden: Mit einer IF-Bedingung wird ermittelt, ob der Fall weitere Untersuchungen erfordert, je nachdem, ob das Land in der benutzerdefinierten Liste enthalten ist.

Aktionen im Playbook-Designer aktivieren

Damit die von Ihnen erstellten benutzerdefinierten Aktionen in der integrierten Entwicklungsumgebung (IDE) aktiviert werden, klicken Sie auf den Schalter Aktivieren, um die Position „Ein“ festzulegen. Nach der Aktivierung sind diese Aktionen im Playbook-Designer verfügbar.

Benutzerdefinierte Liste mit OECD-Ländern erstellen

Um festzustellen, ob für das Land einer Domain weitere Untersuchungen erforderlich sind, müssen Sie eine benutzerdefinierte Liste von Ländern der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) erstellen. Sie können diese Liste dann in Ihrem Playbook verwenden, um das Land der Domain zu prüfen.

So erstellen Sie eine benutzerdefinierte Liste von OECD-Ländern:

  1. Rufen Sie die Einstellungen > Umgebungen auf.
  2. Klicken Sie auf Benutzerdefinierte Listen.
  3. Klicken Sie im Bereich Benutzerdefinierte Listen auf Hinzufügen Hinzufügen.
  4. Geben Sie im Dialogfeld Benutzerdefinierte Liste hinzufügen die Entitäts-ID, die Kategorie und die Umgebung ein.
  5. Klicken Sie auf Hinzufügen.

Automatisierungs-Playbook erstellen

So erstellen Sie ein Automatisierungs-Playbook:

  1. Rufen Sie den Playbook Designer auf und klicken Sie auf Hinzufügen.
  2. Wählen Sie im Dialogfeld Neu erstellen das Optionsfeld Playbook aus.
  3. Wählen Sie einen Ordner und eine Umgebung für das Playbook aus.
  4. Geben Sie einen Namen für das Playbook ein (neben dem Playbook-Schalter), um es anzupassen.

Vorgefertigtes Playbook importieren

So importieren Sie ein vorgefertigtes Playbook:

  1. Klicken Sie im Playbook Designer auf Liste > Importieren.
    Erstelle mein erstes Playbook für die Automatisierung
  2. Jedes Playbook beginnt mit einem Trigger. Um den Trigger für dieses Playbook festzulegen, ziehen Sie den Trigger Alle aus dem Menü Trigger in den ersten Schritt des Playbooks. Dadurch wird das Playbook für jede in Google Security Operations aufgenommene Benachrichtigung aktiviert.

Playbook erstellen

So erstellen Sie ein Playbook mit den Aktionen aus Ihrer Integration der WHOIS XML API:

  1. Klicken Sie auf dem Tab Aktionen auf die Liste WHOIS XML API. Ihre benutzerdefinierten Aktionen werden unter dem Namen der Integration angezeigt. Wenn sie nicht sichtbar sind, prüfen Sie, ob sie aktiviert und im IDE-Modul gespeichert sind.
  2. Ziehen Sie die Aktion Domaindetails abrufen in das Playbook und platzieren Sie sie direkt nach dem Trigger.

Aktion anpassen

Sie können die Aktion so anpassen, dass sie in einem bestimmten Bereich ausgeführt wird. In diesem Beispiel wird die Aktion für alle Entitäten ausgeführt, die URLs sind. Verwenden Sie für das Feld „Domainname“ den Platzhalter Entity.Identifier.

So nehmen Sie diese Anpassungen vor:

  1. Platzhalter einfügen: Klicken Sie auf  Platzhalter und suchen Sie in der Suchleiste nach Entity.Identifier. Bei dieser Aktion wird eine Verbindung zur WHOIS-Website hergestellt, die Details der Domain werden extrahiert und im JSON-Format dargestellt.
  2. Definieren Sie den Umfang. Die Aktion stellt eine Verbindung zur WHOIS-Website her, extrahiert die Domaindetails und präsentiert sie im JSON-Format.
  3. Verfügbarkeit prüfen Mit dem Parameter Check Availability, den Sie für die Aktion definiert haben, wird geprüft, ob die Domain verfügbar ist.
  4. Nachdem Sie die Aktion Get Domain Details (Domaindetails abrufen) hinzugefügt haben, ziehen Sie die Aktion Enrich Entities (Entitäten anreichern) in Ihr Playbook. Passen Sie die Aktion so an, dass sie für alle URLs ausgeführt wird. Da Sie diese Aktion für einen bestimmten Entitätsbereich konzipiert haben, müssen Sie das Feld Domainname nicht definieren, wie Sie es bei der vorherigen Aktion getan haben.

Aktion „Entitäts-Insight“ hinzufügen

Fügen Sie die Aktion Add Entity Insight hinzu, die Teil der Google SecOps-Integration ist:

  1. Definieren Sie den Umfang. Wählen Sie für den Bereich Entität die Option Alle URLs aus, wie Sie es auch für die vorherigen Aktionen im Playbook getan haben.
  2. Extrahieren Sie das JSON-Feld. Öffnen Sie im Feld Insight den Google SecOps Expression Builder, um das Feld „country“ aus dem JSON-Ergebnis zu extrahieren.
  3. Öffnen Sie den Ausdrucksgenerator für die JSON-Ausgabe: Klicken Sie auf das Platzhaltersymbol (data_array), wählen Sie die Playbook-Liste aus und klicken Sie auf WHOIS XML API_Get Domain Details_1.JsonResult. Dadurch wird der Ausdrucks-Generator für die JSON-Ausgabe geöffnet.

Feld „country“ aus dem JSON extrahieren

Das JSON-Beispiel im Ausdrucksgenerator ist dasselbe, das Sie in der IDE für Benutzerdefinierte Aktion erstellen eingefügt haben. So extrahieren Sie das Feld „Land“:

  1. Klicken Sie in der JSON-Datei auf Country.
  2. Klicken Sie auf arrow_right Ausführen, um den Platzhalter zu testen und das Ergebnis im Feld Ergebnisse anzusehen.

Entität erstellen

Wenn Sie die Aktion Ist in benutzerdefinierter Liste ausführen möchten, müssen Sie eine neue Einheit aus dem Land erstellen, das mit der Domain verknüpft ist. Gehen Sie hierzu folgendermaßen vor:

  1. Ziehen Sie unter Google SecOps Integration die Aktion Create Entity (Rechtssubjekt erstellen) in das Playbook.
  2. Konfigurieren Sie die Aktion so, dass sie für Alle URLs ausgeführt wird.
  3. Verwenden Sie den Ausdrucks-Generator, um den Platzhalter country in das Feld Entity Identifies (Entität identifiziert) einzufügen. Wählen Sie für den Entitätstyp die Option Generische Entität aus und klicken Sie auf Speichern.
  4. Fügen Sie die Aktion Is in Custom List (Ist in benutzerdefinierter Liste) hinzu:
    1. Ziehen Sie die Aktion in das Playbook.
    2. Konfigurieren Sie die Aufgabe so, dass sie für alle generischen Entitäten (die Entität, die Sie gerade erstellt haben) ausgeführt wird.
    3. Fügen Sie unter Kategorie die Kategorie hinzu, die Sie für Ihre benutzerdefinierte Liste der OECD-Länder konfiguriert haben.
  5. Fügen Sie Ihrem Playbook die IF-Bedingung hinzu, um festzustellen, ob das Land der Domain eine weitere Untersuchung erfordert. Im ersten Zweig wird geprüft, ob das Skriptergebnis für Is in Custom list (Ist in benutzerdefinierter Liste enthalten) ein falsches Ergebnis zurückgegeben hat. Der Zweig Else (Andernfalls) wird für das gegenteilige Ergebnis verwendet.
    • Fügen Sie Ihrem Playbook die Aktion IF Condition (WENN-Bedingung) hinzu. Es werden zwei Zweige angezeigt.
  6. Passen Sie den ersten Zweig an. Der erste Zweig wird ausgeführt, wenn die Aktion Ist in benutzerdefinierter Liste das Ergebnis „Falsch“ zurückgibt. Das bedeutet, dass das Land der Domain nicht in Ihrer benutzerdefinierten Liste der OECD-Länder enthalten ist und weitere Untersuchungen erforderlich sind.
  7. Ziehen Sie für die erste Aktion in diesem Zweig eine Case Tag-Aktion aus der Google SecOps-Integration.

Weisen Sie den Fall einer höheren Supportebene zu.

Weisen Sie den Fall einer höheren Supportebene zu, um ihn weiter zu untersuchen. Gehen Sie hierzu folgendermaßen vor:

  1. Ziehen Sie die Aktion Fall zuweisen in das Playbook.
  2. Wählen Sie @Tier2 als Assigned User (Zugewiesener Nutzer) aus.

Priorität ändern

Ändern Sie die Priorität mit der Aktion Google SecOps Change Priority in High > klicken Sie auf Speichern.

„Else“-Zweig anpassen

Nachdem Sie den ersten Zweig fertiggestellt haben, können Sie den Zweig Else anpassen. In diesem Zweig werden Fälle behandelt, in denen das Land der Domain ein OECD-Land ist und Sie entschieden haben, dass keine weiteren Untersuchungen erforderlich sind. So konfigurieren Sie den Else-Zweig:

  1. Fügen Sie ein Fall-Tag mit dem Label In OECD countries (In OECD-Ländern) hinzu, wie Sie es im ersten Zweig getan haben.
  2. Fügen Sie diesem Zweig die Aktion Fall schließen hinzu. Da das Schließen eines Falls eine vertrauliche Aktion ist, sollten Sie sie für die manuelle Ausführung konfigurieren. Wählen Sie im Abschnitt Einstellungen der Aktion den Modus Manuell aus.
  3. Fügen Sie im Abschnitt Parameter der Aktion Fall schließen die Begründung, die Ursache und den Kommentar hinzu.
  4. Klicken Sie auf Speichern, um das Playbook mit den hinzugefügten Parametern zu speichern.

Playbook-Ausführung ansehen

So sehen Sie sich Ihre benutzerdefinierte Automatisierung in Aktion an:

  1. Klicken Sie unter Fälle auf Hinzufügen Hinzufügen > Fälle simulieren.
  2. Wählen Sie den Fall Phishing-E-Mail > klicken Sie auf Erstellen.
  3. Wählen Sie die Umgebung > klicken Sie auf Simulieren, um die Playbook-Ausführung zu simulieren.
  4. Sie können das Playbook, das für die Benachrichtigung ausgeführt wird, und die Ergebnisse der einzelnen Aktionen im Playbook ansehen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten