Crie a sua primeira automatização

Compatível com:

Este documento explica como criar a sua primeira automatização usando as ações que criou em Crie ações personalizadas.

O manual que vai criar destina-se a um exemplo de utilização de phishing básico e automatiza os seguintes passos:

  • Extrair detalhes do domínio: o manual extrai o domínio de um URL encontrado num alerta.
  • Enriquecer o domínio: em seguida, enriquece a entidade com informações adicionais.
  • Adicione uma estatística: o manual de soluções adiciona uma estatística que contém o país do domínio.
  • Verificar uma lista personalizada: verifica se o país está numa lista personalizada.
  • Use uma condição IF: uma condição IF é usada para determinar se o registo requer uma investigação mais detalhada com base no facto de o país estar ou não na lista personalizada.

Ative ações no criador de manuais de procedimentos

Para se certificar de que as ações personalizadas que criou estão ativadas no ambiente de desenvolvimento integrado (IDE), clique no botão Ativar para o colocar na posição ativada. Depois de ativadas, estas ações ficam disponíveis no criador de manuais de soluções.

Crie uma lista personalizada de países da OCDE

Para determinar se o país de um domínio requer uma investigação mais detalhada, tem de criar uma lista personalizada de países da Organização para a Cooperação e Desenvolvimento Económico (OCDE). Em seguida, pode usar esta lista no seu manual para verificar o país do domínio.

Para criar uma lista personalizada de países da OCDE, siga estes passos:

  1. Aceda a Definições > Ambientes.
  2. Clique em Listas personalizadas.
  3. Na secção Listas personalizadas, clique em adicionar Adicionar.
  4. Na caixa de diálogo Adicionar lista personalizada, introduza o identificador da entidade, a categoria e o ambiente.
  5. Clique em Adicionar.

Crie um manual de automatização

Para criar um manual de automatização, siga estes passos:

  1. Aceda ao Playbook Designer e clique em Adicionar.
  2. Na caixa de diálogo Criar novo, selecione o botão de opção Playbook.
  3. Escolha uma pasta e um ambiente para o manual de estratégias.
  4. Introduza um nome para o manual de soluções (junto ao botão do manual de soluções) para começar a personalizar o manual de soluções.

Importe um guia interativo predefinido

Para importar um manual pré-criado, siga estes passos:

  1. No Playbook Designer, clique em Lista > Importar.
    Crie o meu primeiro manual de automatização
  2. Cada manual começa com um acionador. Para definir o acionador deste plano de ação, arraste o acionador Tudo do menu Acionadores para o primeiro passo do plano de ação. Isto faz com que o manual de procedimentos seja ativado em todos os alertas carregados no Google Security Operations.

Crie um guia interativo

Para criar um manual de procedimentos com as ações da integração da "API XML WHOIS", siga estes passos:

  1. No separador Ações, clique na lista API XML WHOIS. As suas ações personalizadas são apresentadas abaixo do nome da integração. Se não estiverem visíveis, confirme que estão ativadas e guardadas no módulo do IDE.
  2. Arraste a ação Obter detalhes do domínio para o guião, colocando-a imediatamente após o acionador.

Personalize a ação

Pode personalizar a ação para ser executada num âmbito específico. Neste exemplo, execute a ação em todas as entidades que são URLs. Para o campo do nome de domínio, use o marcador de posição Entity.Identifier.

Para fazer estas personalizações, faça o seguinte:

  1. Inserir o marcador de posição: clique em Marcador de posição e pesquise Entity.Identifier na barra de pesquisa. Esta ação estabelece ligação ao site "WHOIS", extrai os detalhes do domínio e apresenta-os no formato JSON.
  2. Defina o âmbito. A ação estabelece ligação ao site "WHOIS", extrai os detalhes do domínio e apresenta-os no formato JSON.
  3. Verifique a disponibilidade. O parâmetro Check Availability que definiu para a ação verifica se o domínio está disponível ou não.
  4. Depois de adicionar a ação Get Domain Details, arraste a ação Enrich Entities para o seu manual de soluções. Personalize-a para ser executada em Todos os URLs. Uma vez que criou esta ação para operar num âmbito de entidade específico, não precisa de definir o campo Nome do domínio, como fez com a ação anterior.

Adicione a ação Estatísticas de entidades

Adicione a ação Adicionar estatísticas de entidades, que faz parte da integração do Google SecOps:

  1. Defina o âmbito. Para o âmbito Entidade, selecione Todos os URLs, tal como fez para as ações anteriores no manual de soluções.
  2. Extraia o campo JSON. No campo Insight, abra o criador de expressões do Google SecOps para extrair o campo do país do resultado JSON.
  3. Abra o criador de expressões para a saída JSON: clique no ícone de marcador de posição (data_array), escolha a lista de playbooks e selecione WHOIS XML API_Get Domain Details_1.JsonResult. Esta ação abre o criador de expressões para o resultado JSON.

Extraia o campo de país do JSON

O exemplo JSON no criador de expressões é o mesmo que inseriu no IDE para criar a sua ação personalizada. Para extrair o campo "País", siga estes passos:

  1. Clique em País no JSON.
  2. Clique em arrow_right Executar para testar o marcador de posição e ver o resultado no campo Resultados.

Crie uma entidade

Para executar a ação Está na lista personalizada, tem de criar uma nova entidade a partir do país relacionado com o domínio. Para o fazer, siga estes passos:

  1. Em Integração do Google SecOps, arraste a ação Criar entidade para o manual de procedimentos.
  2. Configure a ação para ser executada em Todos os URLs.
  3. Use o criador de expressões para inserir o marcador de posição country no campo Identificadores de entidades. Para o Tipo de entidade, escolha Entidade genérica e clique em Guardar.
  4. Adicione a ação Está na lista personalizada:
    1. Arraste a ação para o manual de estratégias.
    2. Configure-o para ser executado em todas as entidades genéricas (a entidade que acabou de criar).
    3. Para a Categoria, adicione a categoria que configurou para a sua lista personalizada de países da OCDE.
  5. Adicione a condição IF ao seu manual de estratégias para determinar se o país do domínio requer uma investigação mais detalhada. O primeiro ramo verifica se o resultado do script para Is in Custom list devolveu um resultado falso e o ramo Else vai para o resultado oposto.
    • Adicione a ação Condição SE ao seu manual de estratégias. Aparecem dois ramos.
  6. Personalize a primeira ramificação. O primeiro ramo é executado se a ação Está na lista personalizada devolver um resultado falso. Isto significa que o país do domínio não está na sua lista personalizada de países da OCDE e requer uma investigação mais detalhada.
  7. Para a primeira ação nesta ramificação, arraste uma ação Case Tag da integração do Google SecOps.

Atribua o registo a um nível superior

Atribuir o registo a um nível superior para investigar mais aprofundadamente este registo. Para o fazer, siga estes passos:

  1. Arraste a ação Atribuir registo para o guia interativo.
  2. Escolha @Tier2 como o Utilizador atribuído.

Altere a prioridade

Altere a prioridade para Alta através da ação Google SecOps Change Priority > clique em Guardar.

Personalize o ramo Else

Depois de terminar o primeiro ramo, pode personalizar o ramo Else. Este ramo processa casos em que o país do domínio é um país da OCDE, que decidiu que não requerem uma investigação mais detalhada. Para configurar a ramificação Else, siga estes passos:

  1. Adicione uma etiqueta de caso, tal como fez na primeira ramificação, com a etiqueta In OECD countries.
  2. Adicione uma ação Fechar registo a este ramo. Uma vez que o encerramento de um registo é uma ação sensível, deve configurá-lo para execução manual. Na secção Definições da ação, selecione o modo Manual.
  3. Na secção Parâmetros da ação Fechar registo, adicione o Motivo, a Causa principal e o Comentário.
  4. Clique em Guardar para guardar o manual com os parâmetros adicionados.

Veja a execução do manual

Para ver a sua automatização personalizada em ação, siga estes passos:

  1. Em Registos, clique em adicionar Adicionar > Simular registos.
  2. Selecione o registo Email de phishing > clique em Criar.
  3. Selecione Ambiente > clique em Simular para simular a execução do manual de soluções.
  4. Veja o plano de ação em execução no alerta e os resultados de cada ação no plano de ação.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.