Créer votre première automatisation

Compatible avec :

Ce document explique comment créer votre première automatisation à l'aide des actions que vous avez créées dans Créer des actions personnalisées.

Le playbook que vous allez créer concerne un cas d'utilisation de phishing de base et automatise les étapes suivantes :

  • Extraire les détails du domaine : le playbook extrait le domaine d'une URL trouvée dans une alerte.
  • Enrichir le domaine : l'entité est ensuite enrichie avec des informations supplémentaires.
  • Ajouter un insight : le playbook ajoute un insight contenant le pays du domaine.
  • Vérifier une liste personnalisée : vérifie si le pays figure dans une liste personnalisée.
  • Utiliser une condition IF : une condition IF permet de déterminer si la demande nécessite un examen plus approfondi en fonction de la présence du pays dans la liste personnalisée.

Activer les actions dans le concepteur de playbooks

Pour vous assurer que les actions personnalisées que vous avez créées sont activées dans l'environnement de développement intégré (IDE), cliquez sur le bouton Activer. Une fois activées, ces actions sont disponibles dans le concepteur de playbooks.

Créer une liste personnalisée des pays de l'OCDE

Pour déterminer si le pays d'un domaine nécessite un examen plus approfondi, vous devez créer une liste personnalisée des pays de l'Organisation de coopération et de développement économiques (OCDE). Vous pouvez ensuite utiliser cette liste dans votre playbook pour vérifier le pays du domaine.

Pour créer une liste personnalisée de pays de l'OCDE :

  1. Accédez à Paramètres> Environnements.
  2. Cliquez sur Listes personnalisées.
  3. Dans la section Listes personnalisées, cliquez sur add Ajouter.
  4. Dans la boîte de dialogue Ajouter une liste personnalisée, saisissez l'identifiant d'entité, la catégorie et l'environnement.
  5. Cliquez sur Ajouter.

Créer un playbook d'automatisation

Pour créer un playbook d'automatisation, procédez comme suit :

  1. Accédez au Créateur de playbook, puis cliquez sur Ajouter.
  2. Dans la boîte de dialogue Créer, sélectionnez le bouton radio Playbook.
  3. Choisissez un dossier et un environnement pour le playbook.
  4. Saisissez un nom pour le playbook (à côté du bouton bascule) afin de commencer à le personnaliser.

Importer un playbook prédéfini

Pour importer un playbook prédéfini, procédez comme suit :

  1. Dans le Playbook Designer, cliquez sur Liste > Importer.
    Crée mon premier playbook d'automatisation
  2. Chaque playbook commence par un déclencheur. Pour définir le déclencheur de ce playbook, faites glisser le déclencheur Tous du menu Déclencheurs vers la première étape du playbook. Le playbook est alors activé pour chaque alerte ingérée dans Google Security Operations.

Créer un playbook

Pour créer un playbook à l'aide des actions de votre intégration "WHOIS XML API", procédez comme suit :

  1. Dans l'onglet Actions, cliquez sur la liste API WHOIS XML. Vos actions personnalisées s'affichent sous le nom de l'intégration. Si elles ne sont pas visibles, vérifiez qu'elles sont activées et enregistrées dans le module IDE.
  2. Faites glisser l'action Obtenir les détails du domaine dans le playbook, juste après le déclencheur.

Personnaliser l'action

Vous pouvez personnaliser l'action à exécuter dans un champ d'application spécifique. Dans cet exemple, exécutez l'action sur toutes les entités qui sont des URL. Pour le champ du nom de domaine, utilisez l'espace réservé Entity.Identifier.

Pour effectuer ces personnalisations, procédez comme suit :

  1. Insérez l'espace réservé : cliquez sur Espace réservé, puis recherchez Entity.Identifier dans la barre de recherche. Cette action se connecte au site "WHOIS", extrait les détails du domaine et les présente au format JSON.
  2. Définissez le champ d'application. L'action se connecte au site "WHOIS", extrait les détails du domaine et les présente au format JSON.
  3. Vérifiez la disponibilité. Le paramètre Vérifier la disponibilité que vous avez défini pour l'action vérifie si le domaine est disponible ou non.
  4. Après avoir ajouté l'action Obtenir les détails du domaine, faites glisser l'action Enrichir les entités dans votre playbook. Personnalisez-la pour qu'elle s'exécute sur toutes les URL. Comme vous avez conçu cette action pour qu'elle fonctionne sur un champ d'application d'entité spécifique, vous n'avez pas besoin de définir le champ Nom de domaine, comme vous l'avez fait avec l'action précédente.

Ajouter l'action "Entity Insight"

Ajoutez l'action Ajouter un insight sur une entité qui fait partie de l'intégration Google SecOps :

  1. Définissez le champ d'application. Pour le champ d'application Entité, sélectionnez Toutes les URL, comme vous l'avez fait pour les actions précédentes du playbook.
  2. Extrayez le champ JSON. Dans le champ Insight, ouvrez le Générateur d'expressions Google SecOps pour extraire le champ "pays" du résultat JSON.
  3. Ouvrez le générateur d'expressions pour la sortie JSON : cliquez sur l'icône de l'espace réservé (data_array), sélectionnez la liste des playbooks, puis WHOIS XML API_Get Domain Details_1.JsonResult. L'éditeur d'expressions pour la sortie JSON s'ouvre.

Extraire le champ "pays" du fichier JSON

L'exemple JSON dans le générateur d'expressions est le même que celui que vous avez inséré dans l'IDE pour Créer votre action personnalisée. Pour extraire le champ "Pays", procédez comme suit :

  1. Cliquez sur Country (Pays) dans le fichier JSON.
  2. Cliquez sur arrow_right Exécuter pour tester le code de substitution et afficher le résultat dans le champ Résultats.

Créer une entité

Pour exécuter l'action Est dans la liste personnalisée, vous devez créer une entité à partir du pays associé au domaine. Pour ce faire, procédez comme suit :

  1. Dans Intégration Google SecOps, faites glisser l'action Créer une entité dans le playbook.
  2. Configurez l'action à exécuter sur Toutes les URL.
  3. Utilisez le générateur d'expressions pour insérer l'espace réservé country dans le champ L'entité identifie. Pour le Type d'entité, sélectionnez Entité générique, puis cliquez sur Enregistrer.
  4. Ajoutez l'action Est dans la liste personnalisée :
    1. Faites glisser l'action dans le playbook.
    2. Configurez-le pour qu'il s'exécute sur toutes les entités génériques (l'entité que vous venez de créer).
    3. Pour Catégorie, ajoutez la catégorie que vous avez configurée pour votre liste personnalisée de pays de l'OCDE.
  5. Ajoutez la condition IF à votre playbook pour déterminer si le pays du domaine nécessite un examen plus approfondi. La première branche vérifie si le résultat du script pour Is in Custom list a renvoyé un résultat "false". La branche Else passera au résultat opposé.
    • Ajoutez l'action IF Condition à votre playbook. Deux branches s'affichent.
  6. Personnalisez la première branche. La première branche s'exécute si l'action Est dans la liste personnalisée renvoie un résultat "false". Cela signifie que le pays du domaine ne figure pas dans votre liste personnalisée de pays de l'OCDE et nécessite un examen plus approfondi.
  7. Pour la première action de cette branche, faites glisser une action Tag de requête depuis l'intégration Google SecOps.

Attribuer la demande à un niveau supérieur

Attribuez la demande à un niveau supérieur pour l'examiner plus en détail. Pour ce faire, procédez comme suit :

  1. Faites glisser l'action Attribuer une demande vers le playbook.
  2. Choisissez @Tier2 comme utilisateur attribué.

Modifier la priorité

Définissez la priorité sur Élevée à l'aide de l'action Google SecOps Change Priority > cliquez sur Enregistrer.

Personnaliser la branche "Else"

Une fois la première branche terminée, vous pouvez personnaliser la branche Else. Cette branche gère les cas où le pays du domaine est un pays de l'OCDE, pour lesquels vous avez décidé qu'une enquête plus approfondie n'était pas nécessaire. Pour configurer la branche Else, procédez comme suit :

  1. Ajoutez un tag de cas, comme vous l'avez fait dans la première branche, avec le libellé Dans les pays de l'OCDE.
  2. Ajoutez une action Fermer la demande à cette branche. Étant donné que la clôture d'une demande est une action sensible, vous devez configurer son exécution manuelle. Dans la section Paramètres de l'action, sélectionnez le mode Manuel.
  3. Dans la section Paramètres de l'action Fermer la demande, ajoutez les paramètres Raison, Cause première et Commentaire.
  4. Cliquez sur Enregistrer pour enregistrer le playbook avec les paramètres ajoutés.

Afficher l'exécution du playbook

Pour voir votre automatisation personnalisée en action, procédez comme suit :

  1. Dans Cas, cliquez sur add Ajouter > Simuler des cas.
  2. Sélectionnez la demande Phishing Email (E-mail de phishing) > cliquez sur Create (Créer).
  3. Sélectionnez Environnement > cliquez sur Simuler pour simuler l'exécution du playbook.
  4. Affichez le playbook en cours d'exécution sur l'alerte et les résultats de chaque action du playbook.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.