最初の自動化を作成する

以下でサポートされています。

このドキュメントでは、カスタム アクションを作成するで作成したアクションを使用して、初めての自動化を作成する方法について説明します。

作成するプレイブックは、基本的なフィッシングのユースケースを対象としており、次の手順を自動化します。

  • ドメインの詳細を抽出する: プレイブックは、アラートで検出された URL からドメインを抽出します。
  • ドメインを拡充する: エンティティに追加情報を付加します。
  • 分析情報を追加: ドメインの国を含む分析情報がハンドブックに追加されます。
  • カスタムリストを確認する: 国がカスタムリストに含まれているかどうかを確認します。
  • IF 条件を使用する: IF 条件は、国がカスタム リストに含まれているかどうかに基づいて、ケースのさらなる調査が必要かどうかを判断するために使用されます。

ハンドブック デザイナーでアクションを有効にする

作成したカスタム アクションが統合開発環境(IDE)で有効になっていることを確認するには、[有効にする] 切り替えボタンをクリックしてオンにします。有効にすると、これらのアクションはハンドブック デザイナーで使用できるようになります。

OECD 加盟国のカスタムリストを作成する

ドメインの国で追加の調査が必要かどうかを判断するには、経済協力開発機構(OECD)加盟国のカスタムリストを作成する必要があります。このリストをプレイブックで使用して、ドメインの国を確認できます。

OECD 加盟国のカスタムリストを作成する手順は次のとおりです。

  1. [Settings] > [Environments] に移動します。
  2. [カスタムリスト] をクリックします。
  3. [カスタムリスト] セクションで、 追加 追加をクリックします。
  4. [カスタムリストを追加] ダイアログで、[エンティティ ID]、[カテゴリ]、[環境] を入力します。
  5. [追加] をクリックします。

自動化ハンドブックを作成する

自動化プレイブックを作成する手順は次のとおりです。

  1. ハンドブック デザイナーに移動し、 [追加] をクリックします。
  2. [新規作成] ダイアログで、[ハンドブック] ラジオボタンを選択します。
  3. プレイブックのフォルダと環境を選択します。
  4. ハンドブックの名前(ハンドブックの切り替えの横)を入力して、ハンドブックのカスタマイズを開始します。

事前作成済みハンドブックをインポートする

事前作成されたプレイブックをインポートする手順は次のとおりです。

  1. [ハンドブック デザイナー] で、[リスト] > [インポート] をクリックします。
    最初の自動化ハンドブックを作成する
  2. すべてのプレイブックはトリガーから始まります。このハンドブックのトリガーを設定するには、[トリガー] メニューから [すべて] トリガーをハンドブックの最初のステップにドラッグします。これにより、Google Security Operations に取り込まれたすべてのアラートでハンドブックが有効になります。

ハンドブックを作成する

「WHOIS XML API」インテグレーションのアクションを使用してプレイブックを作成する手順は次のとおりです。

  1. [アクション] タブで、[WHOIS XML API] リストをクリックします。カスタム アクションは、インテグレーション名の下に表示されます。表示されない場合は、IDE モジュールで有効になっていて保存されていることを確認します。
  2. [ドメインの詳細を取得] アクションをハンドブックにドラッグし、トリガーの直後に配置します。

アクションをカスタマイズする

特定のスコープで実行するアクションをカスタマイズできます。この例では、URL であるすべてのエンティティに対してアクションを実行します。ドメイン名フィールドには、Entity.Identifier プレースホルダを使用します。

これらのカスタマイズを行うには、次の操作を行います。

  1. プレースホルダを挿入します。 [プレースホルダ] をクリックし、検索バーで Entity.Identifier を検索します。このアクションは「WHOIS」サイトに接続し、ドメインの詳細を抽出して JSON 形式で表示します。
  2. スコープを定義します。このアクションは「WHOIS」サイトに接続し、ドメインの詳細を抽出して JSON 形式で表示します。
  3. 空き状況を確認します。アクションに定義した Check Availability パラメータは、ドメインが利用可能かどうかを確認します。
  4. [Get Domain Details] アクションを追加したら、[Enrich Entities] アクションをプレイブックにドラッグします。[すべての URL] で実行するようにカスタマイズします。このアクションは特定のエンティティ スコープで動作するように設計されているため、前の操作と同様に [ドメイン名] フィールドを定義する必要はありません。

エンティティ分析情報アクションを追加する

Google SecOps 統合の一部であるエンティティ分析情報を追加アクションを追加します。

  1. スコープを定義します。[エンティティ] スコープで、プレイブックの前の操作と同様に [すべての URL] を選択します。
  2. JSON フィールドを抽出します。[分析情報] フィールドで、Google SecOps 式ビルダーを開き、JSON 結果から国フィールドを抽出します。
  3. JSON 出式の式ビルダーを開きます。プレースホルダ アイコン(data_array)をクリックし、プレイブック リストを選択して、WHOIS XML API_Get Domain Details_1.JsonResult を選択します。JSON 出力の式ビルダーが開きます。

JSON から国フィールドを抽出する

式ビルダーの JSON サンプルは、カスタム アクションを作成するで IDE に挿入したサンプルと同じです。`Country` フィールドを抽出する手順は次のとおりです。

  1. JSON で [Country] をクリックします。
  2. arrow_right [実行] をクリックしてプレースホルダをテストし、[結果] フィールドで結果を確認します。

エンティティの作成

[Is in custom list] アクションを実行するには、ドメインに関連する国から新しいエンティティを作成する必要があります。その手順は次のとおりです。

  1. [Google SecOps Integration] から、[Create Entity] アクションをハンドブックにドラッグします。
  2. すべての URL で実行するアクションを構成します。
  3. 式ビルダーを使用して、[Entity Identifies] フィールドに country プレースホルダを挿入します。[Entity Type] で [Generic Entity] を選択し、[Save] をクリックします。
  4. [Is in Custom List] アクションを追加します。
    1. アクションをハンドブックにドラッグします。
    2. すべての汎用エンティティ(作成したエンティティ)で実行するように構成します。
    3. [カテゴリ] に、OECD 加盟国のカスタム リスト用に設定したカテゴリを追加します。
  5. プレイブックに IF 条件を追加して、ドメインの国で追加の調査が必要かどうかを判断します。最初の分岐では、[カスタム リストに含まれている] のスクリプト結果が false を返したかどうかがチェックされ、Else 分岐では反対の結果が返されます。
    • プレイブックに IF 条件アクションを追加します。2 つのブランチが表示されます。
  6. 最初の分岐をカスタマイズします。最初のアクションは、[Is in Custom List] アクションが false の結果を返した場合に実行されます。つまり、ドメインの国が OECD 加盟国のカスタム リストに含まれていないため、追加の調査が必要になります。
  7. このブランチの最初のアクションとして、Google SecOps 統合から [ケースタグ] アクションをドラッグします。

上位 Tier にケースを割り当てる

このケースをさらに調査するため、上位 Tier にケースを割り当てます。その手順は次のとおりです。

  1. [Assign Case] アクションをハンドブックにドラッグします。
  2. [割り当てられたユーザー] として @Tier2 を選択します。

優先度を変更する

Google SecOps Change Priority アクションを使用して優先度を [] に変更 > [保存] をクリックします。

Else 分岐をカスタマイズする

最初の分岐を完了したら、Else 分岐をカスタマイズできます。この分岐は、ドメインの国が OECD 加盟国であり、さらなる調査は不要と判断した場合の処理を行います。Else ブランチを構成する手順は次のとおりです。

  1. 最初の分岐と同様に、ラベル「In OECD countries」でケースタグを追加します。
  2. このブランチに [Close Case] アクションを追加します。ケースのクローズは機密性の高い操作であるため、手動で実行するように構成する必要があります。アクションの [設定] セクションで、[手動] モードを選択します。
  3. [ケースをクローズ] アクションの [パラメータ] セクションで、[理由]、[根本原因]、[コメント] を追加します。
  4. [保存] をクリックして、追加したパラメータでハンドブックを保存します。

ハンドブックの実行を表示する

カスタマイズした自動化を実際に確認する手順は次のとおりです。

  1. [ケース] で、 追加 [追加] > [ケースをシミュレート] をクリックします。
  2. [Phishing Email](フィッシング メール)ケースを選択 > [Create](作成)をクリックします。
  3. [環境] > [シミュレート] をクリックして、プレイブックの実行をシミュレートします。
  4. アラートで実行されているハンドブックを表示し、ハンドブックの各アクションの結果を確認します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。