Crear tu primera automatización

Disponible en:

En este documento se explica cómo crear tu primera automatización con las acciones que has creado en Crear acciones personalizadas.

La guía que vas a crear es para un caso práctico de phishing básico y automatiza los siguientes pasos:

  • Extraer detalles del dominio: el cuaderno de estrategias extrae el dominio de una URL que se encuentra en una alerta.
  • Enriquecer el dominio: a continuación, enriquece la entidad con información adicional.
  • Añadir una estadística: la guía añade una estadística que contiene el país del dominio.
  • Comprobar una lista personalizada: comprueba si el país está en una lista personalizada.
  • Usar una condición SI: se usa una condición SI para determinar si el caso requiere una investigación más exhaustiva en función de si el país está en la lista personalizada.

Habilitar acciones en el diseñador de guías

Para asegurarse de que las acciones personalizadas que ha creado estén habilitadas en el entorno de desarrollo integrado (IDE), haga clic en el interruptor Habilitar para activarlo. Una vez habilitadas, estas acciones estarán disponibles en el diseñador de guiones.

Crear una lista personalizada de países de la OCDE

Para determinar si es necesario investigar más a fondo el país de un dominio, debe crear una lista personalizada de países de la Organización para la Cooperación y el Desarrollo Económicos (OCDE). Después, puedes usar esta lista en tu guía para comprobar el país del dominio.

Para crear una lista personalizada de países de la OCDE, sigue estos pasos:

  1. Ve a Configuración > Entornos.
  2. Haz clic en Listas personalizadas.
  3. En la sección Listas personalizadas, haz clic en añadir Añadir.
  4. En el cuadro de diálogo Añadir lista personalizada, introduce el Identificador de entidad, la Categoría y el Entorno.
  5. Haz clic en Añadir.

Crear una guía de automatización

Para crear un manual de automatización, sigue estos pasos:

  1. Ve a Diseñador de guías y haz clic en Añadir.
  2. En el cuadro de diálogo Crear nuevo, selecciona el botón de radio Guía.
  3. Elige una carpeta y un entorno para el cuaderno de estrategias.
  4. Introduce un nombre para la guía (junto al interruptor de la guía) para empezar a personalizarla.

Importar una guía prediseñada

Para importar un manual de estrategias prediseñado, sigue estos pasos:

  1. En el Diseñador de Playbooks, haz clic en Lista > Importar.
    Crea mi primera guía de automatización
  2. Todos los cuadernos de estrategias empiezan con un activador. Para definir el activador de esta guía, arrastra el activador Todos del menú Activadores al primer paso de la guía. Esto hace que la guía se active en cada alerta ingerida en Google Security Operations.

Crear una guía

Para crear un manual de procedimientos con las acciones de tu integración de la API XML de WHOIS, sigue estos pasos:

  1. En la pestaña Acciones, haz clic en la lista API XML de WHOIS. Tus acciones personalizadas aparecerán debajo del nombre de la integración. Si no se ven, confirma que estén habilitados y guardados en el módulo del IDE.
  2. Arrastra la acción Obtener detalles del dominio al cuaderno de estrategias y colócala justo después del activador.

Personalizar la acción

Puedes personalizar la acción para que se ejecute en un ámbito específico. En este ejemplo, se ejecuta la acción en todas las entidades que son URLs. En el campo de nombre de dominio, se usa el marcador de posición Entity.Identifier.

Para hacer estas personalizaciones, sigue estos pasos:

  1. Inserta el marcador de posición: haz clic en Marcador de posición y busca Entity.Identifier en la barra de búsqueda. Esta acción se conecta al sitio "WHOIS", extrae los detalles del dominio y los presenta en formato JSON.
  2. Define el ámbito. La acción se conecta al sitio "WHOIS", extrae los detalles del dominio y los presenta en formato JSON.
  3. Comprueba la disponibilidad. El parámetro Check Availability (Comprobar disponibilidad) que has definido para la acción comprueba si el dominio está disponible o no.
  4. Después de añadir la acción Obtener detalles del dominio, arrastra la acción Enriquecer entidades a tu cuaderno de estrategias. Personalízala para que se ejecute en todas las URLs. Como has diseñado esta acción para que funcione en un ámbito de entidad específico, no tienes que definir el campo Nombre de dominio, como hiciste con la acción anterior.

Añadir la acción Estadísticas de la entidad

Añade la acción Añadir información valiosa de entidad, que forma parte de la integración de Google SecOps:

  1. Define el ámbito. En el ámbito Entidad, seleccione Todas las URLs, como hizo en las acciones anteriores de la guía.
  2. Extrae el campo JSON. En el campo Insight, abre el creador de expresiones de Google SecOps para extraer el campo de país del resultado JSON.
  3. Abre el creador de expresiones para la salida JSON: haz clic en el icono de marcador de posición (data_array), elige la lista de minilibros y selecciona WHOIS XML API_Get Domain Details_1.JsonResult. Se abrirá el creador de expresiones para la salida JSON.

Extraer el campo de país del JSON

El JSON de muestra del generador de expresiones es el mismo que insertó en el IDE para crear su acción personalizada. Para extraer el campo `Country`, sigue estos pasos:

  1. En el JSON, haz clic en Country.
  2. Haz clic en arrow_right Ejecutar para probar el marcador de posición y ver el resultado en el campo Resultados.

Crear una entidad

Para ejecutar la acción Está en la lista personalizada, debe crear una entidad a partir del país relacionado con el dominio. Para ello, siga estos pasos:

  1. En Integración de Google SecOps, arrastra la acción Crear entidad a la guía.
  2. Configura la acción para que se ejecute en Todas las URLs.
  3. Usa el creador de expresiones para insertar el marcador de posición country en el campo Entity Identifies (La entidad identifica). En Tipo de entidad, elija Entidad genérica y haga clic en Guardar.
  4. Añade la acción Está en lista personalizada:
    1. Arrastra la acción a la guía.
    2. Configúralo para que se ejecute en todas las entidades genéricas (la entidad que acabas de crear).
    3. En Categoría, añade la categoría que has configurado para tu lista personalizada de países de la OCDE.
  5. Añade la condición IF a tu cuaderno de estrategias para determinar si el país del dominio requiere una investigación más exhaustiva. La primera rama comprueba si el resultado de la secuencia de comandos de Is in Custom list (Está en la lista personalizada) ha devuelto un resultado falso y la rama Else (Si no) irá al resultado opuesto.
    • Añade la acción Condición IF a tu cuaderno de estrategias. Aparecerán dos ramas.
  6. Personaliza la primera rama. La primera rama se ejecuta si la acción Está en lista personalizada devuelve un resultado falso. Esto significa que el país del dominio no está en su lista personalizada de países de la OCDE y requiere una investigación más a fondo.
  7. En la primera acción de esta rama, arrastra una acción Etiqueta de caso de la integración de Google SecOps.

Asigna el caso a un nivel superior

Asigna el caso a un nivel superior para que se investigue más a fondo. Para ello, siga estos pasos:

  1. Arrastra la acción Asignar caso a la guía.
  2. Elige @Tier2 como Usuario asignado.

Cambiar la prioridad

Cambia la prioridad a Alta con la acción Cambiar prioridad de Google SecOps > haz clic en Guardar.

Personalizar la rama Else

Después de terminar la primera rama, puedes personalizar la rama Si no. Esta rama gestiona los casos en los que el país del dominio es un país de la OCDE y has decidido que no requieren más investigación. Para configurar la rama Else, sigue estos pasos:

  1. Añade una etiqueta de caso, como hiciste en la primera rama, con la etiqueta In OECD countries (En los países de la OCDE).
  2. Añade una acción Cerrar caso a esta rama. Como cerrar un caso es una acción sensible, debes configurarla para que se ejecute manualmente. En la sección Configuración de la acción, selecciona el modo Manual.
  3. En la sección Parámetros de la acción Cerrar caso, añada Motivo, Causa principal y Comentario.
  4. Haz clic en Guardar para guardar el manual con los parámetros añadidos.

Ver la ejecución de la guía

Para ver tu automatización personalizada en acción, sigue estos pasos:

  1. En Casos, haz clic en Añadir Añadir > Simular casos.
  2. Selecciona el caso Correo de phishing > haz clic en Crear.
  3. Selecciona Entorno > haz clic en Simular para simular la ejecución del runbook.
  4. Consulta la guía que se está ejecutando en la alerta y los resultados de cada acción de la guía.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.