Membuat otomatisasi pertama Anda

Didukung di:

Dokumen ini menjelaskan cara membuat otomatisasi pertama menggunakan tindakan yang Anda buat di Membuat tindakan kustom.

Playbook yang akan Anda buat adalah untuk kasus penggunaan phishing dasar dan mengotomatiskan langkah-langkah berikut:

  • Mengekstrak detail domain: Playbook ini mengekstrak domain dari URL yang ditemukan dalam pemberitahuan.
  • Memperkaya domain: Kemudian, domain tersebut diperkaya dengan informasi tambahan.
  • Menambahkan insight: Playbook menambahkan insight yang berisi negara domain.
  • Periksa daftar kustom: Memeriksa apakah negara ada dalam daftar kustom.
  • Gunakan kondisi IF: Kondisi IF digunakan untuk menentukan apakah kasus memerlukan penyelidikan lebih lanjut berdasarkan apakah negara ada dalam daftar kustom.

Mengaktifkan tindakan di perancang playbook

Untuk memastikan bahwa tindakan kustom yang Anda buat diaktifkan di Integrated Developer Environment (IDE), klik tombol Aktifkan ke posisi aktif. Setelah diaktifkan, tindakan ini tersedia di perancang playbook.

Membuat daftar khusus negara OECD

Untuk menentukan apakah negara domain memerlukan penyelidikan lebih lanjut, Anda harus membuat daftar kustom Negara-Negara Anggota Organisasi untuk Kerja Sama dan Pembangunan Ekonomi (OECD). Kemudian, Anda dapat menggunakan daftar ini dalam playbook untuk memeriksa negara domain.

Untuk membuat daftar kustom negara OECD, ikuti langkah-langkah berikut:

  1. Buka Setelan > Lingkungan.
  2. Klik Daftar kustom.
  3. Di bagian Custom lists, klik add Tambahkan.
  4. Dalam dialog Tambahkan Daftar Kustom, masukkan ID Entitas, Kategori, dan Lingkungan.
  5. Klik Tambahkan.

Membuat playbook otomatisasi

Untuk membuat playbook otomatisasi, ikuti langkah-langkah berikut:

  1. Buka Playbook Designer, lalu klik Tambahkan.
  2. Dalam dialog Buat Baru, pilih tombol pilihan Playbook.
  3. Pilih folder dan lingkungan untuk playbook.
  4. Masukkan nama playbook (di samping tombol playbook) untuk mulai menyesuaikan playbook Anda.

Mengimpor playbook buatan Google

Untuk mengimpor playbook buatan Google, ikuti langkah-langkah berikut:

  1. Di Playbook Designer, klik List > Import.
    Buat playbook otomatisasi pertama saya
  2. Setiap playbook dimulai dengan pemicu. Untuk menyetel pemicu playbook ini, tarik pemicu Semua dari menu Pemicu ke langkah pertama playbook. Tindakan ini menyebabkan playbook diaktifkan pada setiap pemberitahuan yang diserap ke Google Security Operations.

Membuat playbook

Untuk membuat playbook menggunakan tindakan dari integrasi "WHOIS XML API", ikuti langkah-langkah berikut:

  1. Di tab Actions, klik daftar WHOIS XML API. Tindakan kustom Anda akan muncul di bagian nama integrasi. Jika tidak terlihat, pastikan keduanya diaktifkan dan disimpan di modul IDE.
  2. Tarik tindakan Dapatkan Detail Domain ke dalam playbook, dan letakkan tepat setelah pemicu.

Menyesuaikan tindakan

Anda dapat menyesuaikan tindakan yang akan dijalankan pada cakupan tertentu. Dalam contoh ini, jalankan tindakan pada semua entity yang berupa URL. Untuk kolom nama domain, gunakan placeholder Entity.Identifier.

Untuk melakukan penyesuaian ini, lakukan hal berikut:

  1. Sisipkan placeholder: klik Placeholder dan telusuri Entity.Identifier di kotak penelusuran. Tindakan ini terhubung ke situs "WHOIS", mengekstrak detail Domain, dan menampilkannya dalam format JSON.
  2. Tentukan cakupan. Tindakan ini terhubung ke situs "WHOIS", mengekstrak detail domain, dan menampilkannya dalam format JSON.
  3. Periksa ketersediaan. Parameter Periksa Ketersediaan yang Anda tentukan untuk tindakan akan memeriksa apakah domain tersedia atau tidak.
  4. Setelah menambahkan tindakan Dapatkan Detail Domain, tarik tindakan Perkaya Entitas ke dalam playbook Anda. Sesuaikan agar berjalan di Semua URL. Karena Anda mendesain tindakan ini untuk beroperasi pada cakupan entitas tertentu, Anda tidak perlu menentukan kolom Nama domain, seperti yang Anda lakukan pada tindakan sebelumnya.

Menambahkan tindakan Insight Entitas

Tambahkan tindakan Add Entity Insight yang merupakan bagian dari Integrasi Google SecOps:

  1. Tentukan cakupan. Untuk cakupan Entitas, pilih Semua URL, seperti yang Anda lakukan untuk tindakan sebelumnya dalam playbook.
  2. Ekstrak kolom JSON. Di kolom Insight, buka Google SecOps Expression builder untuk mengekstrak kolom negara dari hasil JSON.
  3. Buka pembuat ekspresi untuk output JSON: Klik ikon placeholder (data_array), pilih daftar playbook, lalu pilih WHOIS XML API_Get Domain Details_1.JsonResult. Tindakan ini akan membuka pembuat ekspresi untuk output JSON.

Ekstrak kolom negara dari JSON

Contoh JSON di pembuat ekspresi sama dengan yang Anda masukkan di IDE untuk Buat tindakan kustom Anda. Untuk mengekstrak kolom `Negara`, ikuti langkah-langkah berikut:

  1. Klik Negara di JSON.
  2. Klik arrow_right Jalankan untuk menguji pengganti, dan lihat hasilnya di kolom Hasil.

Membuat entity

Untuk menjalankan tindakan Ada dalam daftar kustom, Anda harus membuat entitas baru dari negara yang terkait dengan domain. Untuk melakukannya, ikuti langkah-langkah ini:

  1. Dari Integrasi Google SecOps, tarik tindakan Buat Entitas ke dalam playbook.
  2. Konfigurasi tindakan untuk dijalankan di Semua URL.
  3. Gunakan pembuat ekspresi untuk menyisipkan placeholder country di kolom Entity Identifies. Untuk Entity Type, pilih Generic Entity, lalu klik Save.
  4. Tambahkan tindakan Ada di Daftar Kustom:
    1. Tarik tindakan ke playbook.
    2. Konfigurasikan agar berjalan di semua entitas generik (entitas yang baru saja Anda buat).
    3. Untuk Kategori, tambahkan kategori yang Anda konfigurasi untuk daftar kustom negara OECD.
  5. Tambahkan kondisi IF ke playbook Anda untuk menentukan apakah negara domain memerlukan penyelidikan lebih lanjut. Cabang pertama memeriksa apakah hasil skrip untuk Ada dalam Daftar kustom menampilkan hasil salah dan cabang Lainnya akan menampilkan hasil yang berlawanan.
    • Tambahkan tindakan Kondisi IF ke playbook Anda. Dua cabang akan muncul.
  6. Sesuaikan cabang pertama. Cabang pertama dijalankan jika tindakan Is in Custom List menampilkan hasil salah (false). Artinya, negara domain tidak ada dalam daftar khusus negara OECD Anda dan memerlukan penyelidikan lebih lanjut.
  7. Untuk tindakan pertama di cabang ini, tarik tindakan Tag Kasus dari integrasi Google SecOps.

Menetapkan kasus ke tingkat yang lebih tinggi

Tetapkan kasus ini ke tingkat yang lebih tinggi untuk menyelidiki kasus ini lebih lanjut. Untuk melakukannya, ikuti langkah-langkah ini:

  1. Tarik tindakan Tetapkan Kasus ke playbook.
  2. Pilih @Tier2 sebagai Pengguna yang Ditugaskan.

Mengubah prioritas

Ubah prioritas menjadi Tinggi menggunakan tindakan Google SecOps Change Priority > klik Simpan.

Menyesuaikan cabang Else

Setelah menyelesaikan cabang pertama, Anda dapat menyesuaikan cabang Else. Cabang ini menangani kasus saat negara domain adalah negara OECD, yang menurut Anda tidak memerlukan penyelidikan lebih lanjut. Untuk mengonfigurasi cabang Else, ikuti langkah-langkah berikut:

  1. Tambahkan tag kasus, seperti yang Anda lakukan di cabang pertama, dengan label In OECD countries.
  2. Tambahkan tindakan Tutup Kasus ke cabang ini. Karena menutup kasus adalah tindakan sensitif, Anda harus mengonfigurasinya agar berjalan secara manual. Di bagian Setelan tindakan, pilih mode Manual.
  3. Di bagian Parameter pada tindakan Tutup Kasus, tambahkan Alasan, Penyebab Utama, dan Komentar.
  4. Klik Simpan untuk menyimpan playbook dengan parameter yang ditambahkan.

Melihat eksekusi playbook

Untuk melihat otomatisasi yang disesuaikan saat berjalan, ikuti langkah-langkah berikut:

  1. Di Cases, klik add Add > Simulate Cases.
  2. Pilih kasus Email Phishing > klik Buat.
  3. Pilih Environment > klik Simulate untuk menyimulasikan eksekusi playbook.
  4. Lihat playbook yang berjalan pada pemberitahuan dan lihat hasil setiap tindakan dalam playbook.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.