Crea la tua prima automazione

Supportato in:

Questo documento spiega come creare la tua prima automazione utilizzando le azioni che hai creato in Crea azioni personalizzate.

Il playbook che creerai è per un caso d'uso di phishing di base e automatizza i seguenti passaggi:

  • Estrai dettagli dominio: il playbook estrae il dominio da un URL trovato in un avviso.
  • Arricchisce il dominio: arricchisce l'entità con informazioni aggiuntive.
  • Aggiungi un approfondimento: il playbook aggiunge un approfondimento contenente il paese del dominio.
  • Controlla un elenco personalizzato: verifica se il paese è presente in un elenco personalizzato.
  • Utilizza una condizione IF: una condizione IF viene utilizzata per determinare se il caso richiede ulteriori indagini in base al fatto che il paese sia presente nell'elenco personalizzato.

Attivare le azioni nel designer di playbook

Per assicurarti che le azioni personalizzate che hai creato siano attivate nell'ambiente di sviluppo integrato (IDE), fai clic sul pulsante di attivazione/disattivazione Attiva in modo che sia impostato su On. Una volta attivate, queste azioni sono disponibili nel designer dei playbook.

Creare un elenco personalizzato di paesi OCSE

Per determinare se il paese di un dominio richiede ulteriori indagini, devi creare un elenco personalizzato dei paesi dell'Organizzazione per la cooperazione e lo sviluppo economico (OCSE). Puoi quindi utilizzare questo elenco nel playbook per confrontarlo con il paese del dominio.

Per creare un elenco personalizzato di paesi OCSE:

  1. Vai a Impostazioni > Ambienti.
  2. Fai clic su Elenchi personalizzati.
  3. Nella sezione Elenchi personalizzati, fai clic su Aggiungi Aggiungi.
  4. Nella finestra di dialogo Aggiungi elenco personalizzato, inserisci Identificatore entità, Categoria e Ambiente.
  5. Fai clic su Aggiungi.

Crea un playbook di automazione

Per creare un playbook di automazione:

  1. Vai al Designer di playbook e fai clic su Aggiungi.
  2. Nella finestra di dialogo Crea nuovo, seleziona il pulsante di opzione Playbook.
  3. Scegli una cartella e un ambiente per il playbook.
  4. Inserisci un nome per il playbook (accanto al relativo pulsante di attivazione/disattivazione) per iniziare a personalizzarlo.

Importare un playbook predefinito

Per importare un playbook predefinito:

  1. In Playbook Designer, fai clic su Elenco > Importa.
    Crea il mio primo playbook di automazione
  2. Ogni playbook inizia con un trigger. Per impostare il trigger di questo playbook, trascina il trigger Tutti dal menu Trigger al primo passaggio del playbook. In questo modo, il playbook viene attivato per ogni avviso importato in Google Security Operations.

Crea un playbook

Per creare un playbook utilizzando le azioni dell'integrazione "API WHOIS XML", segui questi passaggi:

  1. Nella scheda Azioni, fai clic sull'elenco API XML WHOIS. Le azioni personalizzate vengono visualizzate sotto il nome dell'integrazione. Se non sono visibili, verifica che siano attivati e salvati nel modulo IDE.
  2. Trascina l'azione Ottieni dettagli dominio nel playbook, posizionandola subito dopo il trigger.

Personalizzare l'azione

Puoi personalizzare l'azione da eseguire in un ambito specifico. In questo esempio, esegui l'azione su tutte le entità che sono URL. Per il campo del nome di dominio, utilizza il segnaposto Entity.Identifier.

Per apportare queste personalizzazioni:

  1. Inserisci il segnaposto: fai clic su Segnaposto e cerca Entity.Identifier nella barra di ricerca. Questa azione si connette al sito "WHOIS", estrae i dettagli del dominio e li presenta in formato JSON.
  2. Definisci l'ambito. L'azione si connette al sito "WHOIS", estrae i dettagli del dominio e li presenta in formato JSON.
  3. Verifica la disponibilità. Il parametro Verifica disponibilità che hai definito per l'azione verifica se il dominio è disponibile o meno.
  4. Dopo aver aggiunto l'azione Ottieni dettagli dominio, trascina l'azione Arricchisci entità nel playbook. Personalizzalo in modo che venga eseguito su Tutti gli URL. Poiché hai progettato questa azione per operare su un ambito di entità specifico, non devi definire il campo Nome di dominio, come hai fatto con l'azione precedente.

Aggiungi l'azione Insight entità

Aggiungi l'azione Aggiungi approfondimento entità, che fa parte dell'integrazione di Google SecOps:

  1. Definisci l'ambito. Per l'ambito Entità, seleziona Tutti gli URL, come hai fatto per le azioni precedenti nel playbook.
  2. Estrai il campo JSON. Nel campo Insight, apri lo strumento di creazione delle espressioni di Google SecOps per estrarre il campo paese dal risultato JSON.
  3. Apri il generatore di espressioni per l'output JSON: fai clic sull'icona del segnaposto (data_array), scegli l'elenco dei playbook e seleziona WHOIS XML API_Get Domain Details_1.JsonResult. Si apre il generatore di espressioni per l'output JSON.

Estrai il campo paese dal JSON

L'esempio JSON nel generatore di espressioni è lo stesso che hai inserito nell'IDE per Creare l'azione personalizzata. Per estrarre il campo "Paese":

  1. Fai clic su Country (Paese) nel file JSON.
  2. Fai clic su arrow_right Esegui per testare il segnaposto e visualizzare il risultato nel campo Risultati.

Crea un'entità

Per eseguire l'azione È nell'elenco personalizzato, devi creare una nuova entità dal paese correlato al dominio. A questo scopo, procedi nel seguente modo:

  1. Da Integrazione Google SecOps, trascina l'azione Crea entità nel playbook.
  2. Configura l'azione da eseguire su Tutti gli URL.
  3. Utilizza il generatore di espressioni per inserire il segnaposto country nel campo Identifica entità. Per Tipo di entità, scegli Entità generica e fai clic su Salva.
  4. Aggiungi l'azione È nell'elenco personalizzato:
    1. Trascina l'azione nel playbook.
    2. Configuralo in modo che venga eseguito su tutte le entità generiche (l'entità che hai appena creato).
    3. Per Categoria, aggiungi la categoria che hai configurato per l'elenco personalizzato di paesi OCSE.
  5. Aggiungi la condizione IF al playbook per determinare se il paese del dominio richiede ulteriori accertamenti. Il primo ramo verifica se il risultato dello script per Is in Custom list (È nell'elenco personalizzato) ha restituito un risultato falso e il ramo Else (Altrimenti) passerà al risultato opposto.
    • Aggiungi l'azione Condizione IF al playbook. Vengono visualizzati due rami.
  6. Personalizza il primo ramo. Il primo ramo viene eseguito se l'azione È in elenco personalizzato restituisce un risultato falso. Ciò significa che il paese del dominio non è presente nel tuo elenco personalizzato di paesi OCSE e richiede ulteriori indagini.
  7. Per la prima azione in questo ramo, trascina un'azione Tag caso dall'integrazione di Google SecOps.

Assegnare la richiesta a un livello superiore

Assegna la richiesta a un livello superiore per ulteriori accertamenti. A questo scopo, procedi nel seguente modo:

  1. Trascina l'azione Assegna richiesta nel playbook.
  2. Scegli @Tier2 come Utente assegnato.

Modificare la priorità

Modifica la priorità impostandola su Alta utilizzando l'azione Google SecOps Change Priority > fai clic su Salva.

Personalizzare il ramo Else

Dopo aver completato il primo ramo, puoi personalizzare il ramo Altrimenti. Questo ramo gestisce i casi in cui il paese del dominio è un paese OCSE, che hai deciso non richiedono ulteriori accertamenti. Per configurare il ramo Altrimenti:

  1. Aggiungi un tag di caso, come hai fatto nel primo ramo, con l'etichetta Nei paesi OCSE.
  2. Aggiungi un'azione Chiudi richiesta a questo ramo. Poiché la chiusura di una richiesta è un'azione sensibile, devi configurarla per l'esecuzione manuale. Nella sezione Impostazioni dell'azione, seleziona la modalità Manuale.
  3. Nella sezione Parametri dell'azione Chiudi richiesta, aggiungi Motivo, Causa principale e Commento.
  4. Fai clic su Salva per salvare il playbook con i parametri aggiunti.

Visualizzare l'esecuzione del playbook

Per vedere l'automazione personalizzata in azione, segui questi passaggi:

  1. In Richieste, fai clic su Aggiungi Aggiungi > Simula richieste.
  2. Seleziona la richiesta Email di phishing > fai clic su Crea.
  3. Seleziona Ambiente > fai clic su Simula per simulare l'esecuzione del playbook.
  4. Visualizza il playbook in esecuzione sull'avviso e i risultati di ogni azione nel playbook.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.