Crea tu primera automatización

Compatible con:

En este documento, se explica cómo crear tu primera automatización con las acciones que creaste en Crea acciones personalizadas.

El playbook que crearás es para un caso de uso básico de phishing y automatiza los siguientes pasos:

  • Extraer detalles del dominio: La guía extrae el dominio de una URL que se encuentra en una alerta.
  • Enriquece el dominio: Luego, enriquece la entidad con información adicional.
  • Agregar una estadística: El manual agrega una estadística que contiene el país del dominio.
  • Verifica una lista personalizada: Comprueba si el país se encuentra en una lista personalizada.
  • Usar una condición IF: Se usa una condición IF para determinar si el caso requiere una mayor investigación en función de si el país se encuentra en la lista personalizada.

Habilita acciones en el diseñador de guías

Para asegurarte de que las acciones personalizadas que creaste estén habilitadas en el entorno de desarrollo integrado (IDE), haz clic en el botón de activación Habilitar para llevarlo a la posición activada. Una vez habilitadas, estas acciones estarán disponibles en el diseñador de guías.

Crea una lista personalizada de países de la OCDE

Para determinar si el país de un dominio requiere una mayor investigación, debes crear una lista personalizada de países de la Organización para la Cooperación y el Desarrollo Económicos (OCDE). Luego, puedes usar esta lista en tu manual para verificar el país del dominio.

Para crear una lista personalizada de países de la OCDE, sigue estos pasos:

  1. Ve a Configuración > Entornos.
  2. Haz clic en Listas personalizadas.
  3. En la sección Listas personalizadas, haz clic en add Agregar.
  4. En el cuadro de diálogo Agregar lista personalizada, ingresa un identificador de entidad, una categoría y un entorno.
  5. Haz clic en Agregar.

Crea una guía de automatización

Para crear un manual de estrategias de automatización, sigue estos pasos:

  1. Ve al Diseñador de guías y haz clic en Agregar.
  2. En el diálogo Create New, selecciona el botón de selección Playbook.
  3. Elige una carpeta y un entorno para la guía.
  4. Ingresa un nombre para la guía (junto al botón de activación) para comenzar a personalizarla.

Importa una guía prediseñada

Para importar una guía prediseñada, sigue estos pasos:

  1. En el Diseñador de Playbooks, haz clic en List > Import.
    Crea mi primera guía de automatización
  2. Todas las guías comienzan con un activador. Para establecer el activador de esta guía, arrastra el activador Todos del menú Activadores al primer paso de la guía. Esto hace que la guía se active con cada alerta que se transfiera a Google Security Operations.

Crear una guía

Para crear un manual de estrategias con las acciones de tu integración de la "API de WHOIS XML", sigue estos pasos:

  1. En la pestaña Actions, haz clic en la lista de la API de WHOIS XML. Tus acciones personalizadas aparecerán debajo del nombre de la integración. Si no están visibles, confirma que estén habilitadas y guardadas en el módulo del IDE.
  2. Arrastra la acción Get Domain Details a la guía y colócala justo después del activador.

Personaliza la acción

Puedes personalizar la acción para que se ejecute en un alcance específico. En este ejemplo, ejecuta la acción en todas las entidades que sean URLs. Para el campo de nombre de dominio, usa el marcador de posición Entity.Identifier.

Para realizar estas personalizaciones, haz lo siguiente:

  1. Inserta el marcador de posición: Haz clic en Marcador de posición y busca Entity.Identifier en la barra de búsqueda. Esta acción se conecta al sitio "WHOIS", extrae los detalles del dominio y los presenta en formato JSON.
  2. Define el alcance. La acción se conecta al sitio "WHOIS", extrae los detalles del dominio y los presenta en formato JSON.
  3. Consulta la disponibilidad. El parámetro Check Availability que definiste para la acción verifica si el dominio está disponible o no.
  4. Después de agregar la acción Get Domain Details, arrastra la acción Enrich Entities a tu guion. Personalízala para que se ejecute en todas las URLs. Como diseñaste esta acción para que opere en un alcance de entidad específico, no es necesario que definas el campo Nombre de dominio, como hiciste con la acción anterior.

Agrega la acción de Entity Insight

Agrega la acción Add Entity Insight, que forma parte de la integración de Google SecOps:

  1. Define el alcance. Para el alcance de Entidad, selecciona Todas las URLs, como lo hiciste para las acciones anteriores de la guía.
  2. Extrae el campo JSON. En el campo Insight, abre el Generador de expresiones de Google SecOps para extraer el campo del país del resultado JSON.
  3. Abre el compilador de expresiones para el resultado JSON: Haz clic en el ícono de marcador de posición (data_array), elige la lista de guiones y selecciona WHOIS XML API_Get Domain Details_1.JsonResult. Se abrirá el compilador de expresiones para el resultado JSON.

Extrae el campo del país del JSON

La muestra de JSON en el compilador de expresiones es la misma que insertaste en el IDE para Crear tu acción personalizada. Para extraer el campo “País”, sigue estos pasos:

  1. Haz clic en Country en el archivo JSON.
  2. Haz clic en arrow_right Ejecutar para probar el marcador de posición y ver el resultado en el campo Resultados.

Crear una entidad

Para ejecutar la acción Está en la lista personalizada, debes crear una entidad nueva a partir del país relacionado con el dominio. Para ello, sigue estos pasos:

  1. Desde Google SecOps Integration, arrastra la acción Create Entity a la guía.
  2. Configura la acción para que se ejecute en Todas las URLs.
  3. Usa el compilador de expresiones para insertar el marcador de posición country en el campo Entity Identifies. En Tipo de entidad, elige Entidad genérica y haz clic en Guardar.
  4. Agrega la acción Is in Custom List:
    1. Arrastra la acción a la guía.
    2. Configúrala para que se ejecute en todas las entidades genéricas (la entidad que acabas de crear).
    3. En Categoría, agrega la categoría que configuraste para tu lista personalizada de países de la OCDE.
  5. Agrega la condición IF a tu guía para determinar si el país del dominio requiere una investigación adicional. La primera rama verifica si el resultado del script para Is in Custom list devolvió un resultado falso, y la rama Else pasará al resultado opuesto.
    • Agrega la acción IF Condition a tu guía. Aparecerán dos ramas.
  6. Personaliza la primera rama. La primera rama se ejecuta si la acción Is in Custom List devuelve un resultado falso. Esto significa que el país del dominio no se encuentra en tu lista personalizada de países de la OCDE y requiere una investigación adicional.
  7. Para la primera acción de esta rama, arrastra una acción Case Tag desde la integración de Google SecOps.

Asigna el caso a un nivel superior

Asigna el caso a un nivel superior para investigarlo más a fondo. Para ello, sigue estos pasos:

  1. Arrastra la acción Assign Case a la guía.
  2. Elige @Tier2 como el Usuario asignado.

Cómo cambiar la prioridad

Cambia la prioridad a Alta con la acción Google SecOps Change Priority > haz clic en Guardar.

Personaliza la rama Else

Después de terminar la primera rama, puedes personalizar la rama Else. Esta rama controla los casos en los que el país del dominio es un país de la OCDE, que decidiste que no requiere más investigación. Para configurar la rama Else, sigue estos pasos:

  1. Agrega una etiqueta de caso, como lo hiciste en la primera rama, con la etiqueta In OECD countries.
  2. Agrega una acción Close Case a esta rama. Dado que cerrar un caso es una acción sensible, debes configurarla para que se ejecute manualmente. En la sección Configuración de la acción, selecciona el modo Manual.
  3. En la sección Parameters de la acción Close Case, agrega Reason, Root Cause y Comment.
  4. Haz clic en Guardar para guardar la guía con los parámetros agregados.

Visualiza la ejecución de la guía

Para ver tu automatización personalizada en acción, sigue estos pasos:

  1. En Casos, haz clic en Agregar Agregar > Simular casos.
  2. Selecciona el caso de Correo electrónico de phishing > haz clic en Crear.
  3. Selecciona Entorno > haz clic en Simular para simular la ejecución del playbook.
  4. Consulta la guía que se ejecuta en la alerta y observa los resultados de cada acción de la guía.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.