Criar sua primeira automação

Neste documento, explicamos como criar sua primeira automação usando as ações criadas em Criar ações personalizadas.

O playbook que você vai criar é para um caso de uso básico de phishing e automatiza as seguintes etapas:

• Extrair detalhes do domínio: o playbook extrai o domínio de um URL encontrado em um alerta.
• Enriquecer o domínio: em seguida, ele enriquece a entidade com mais informações.
• Adicionar um insight: o playbook adiciona um insight com o país do domínio.
• Verificar uma lista personalizada: verifica se o país está em uma lista personalizada.
• Use uma condição IF: uma condição IF é usada para determinar se o caso exige mais investigação com base na presença do país na lista personalizada.

Ativar ações no designer de playbook

Para garantir que as ações personalizadas criadas estejam ativadas no ambiente de desenvolvimento integrado (IDE), clique no botão Ativar para a posição ativada. Depois de ativadas, essas ações ficam disponíveis no designer de playbook.

Criar uma lista personalizada de países da OCDE

Para determinar se o país de um domínio exige mais investigação, crie uma lista personalizada de países da Organização para Cooperação e Desenvolvimento Econômico (OCDE). Em seguida, use essa lista no seu playbook para verificar o país do domínio.

Para criar uma lista personalizada de países da OCDE, siga estas etapas:

1. Acesse Configurações > Ambientes.
2. Clique em Listas personalizadas.
3. Na seção Listas personalizadas, clique em add Adicionar.
4. Na caixa de diálogo Adicionar lista personalizada, insira um Identificador de entidade, uma Categoria e um Ambiente.
5. Clique em Adicionar.

Criar um playbook de automação

Para criar um playbook de automação, siga estas etapas:

1. Acesse o Designer de playbook e clique em addAdicionar.
2. Na caixa de diálogo Criar novo, selecione o botão de opção Playbook.
3. Escolha uma pasta e um ambiente para o manual.
4. Insira um nome para o playbook (ao lado da chave de ativação) e comece a personalizar.

Importar um playbook pronto

Para importar um playbook predefinido, siga estas etapas:

1. No Playbook Designer, clique em format_list_bulleted Lista > login Importar.
   Criar meu primeiro playbook de automação
2. Todo playbook começa com um gatilho. Para definir o acionador deste playbook, arraste o acionador Todos do menu Acionadores para a primeira etapa do playbook. Isso faz com que o playbook seja ativado em todos os alertas ingeridos no Google Security Operations.

Criar um playbook

Para criar um playbook usando as ações da integração "API XML WHOIS", siga estas etapas:

1. Na guia Ações, clique na lista API XML WHOIS. As ações personalizadas vão aparecer abaixo do nome da integração. Se eles não estiverem visíveis, confirme se estão ativados e salvos no módulo do ambiente de desenvolvimento integrado.
2. Arraste a ação Receber detalhes do domínio para o playbook, colocando-a logo após o acionador.

Personalizar a ação

É possível personalizar a ação para ser executada em um escopo específico. Neste exemplo, execute a ação em todas as entidades que são URLs. Para o campo "Nome de domínio", use o marcador de posição Entity.Identifier.

Para fazer essas personalizações, siga estas etapas:

1. Insira o marcador de posição: clique em data_array Marcador de posição e pesquise Entity.Identifier na barra de pesquisa. Essa ação se conecta ao site "WHOIS", extrai os detalhes do domínio e os apresenta no formato JSON.
2. Defina o escopo. A ação se conecta ao site "WHOIS", extrai detalhes do domínio e os apresenta no formato JSON.
3. Verifique a disponibilidade. O parâmetro Verificar disponibilidade definido para a ação verifica se o domínio está disponível ou não.
4. Depois de adicionar a ação Receber detalhes do domínio, arraste a ação Enriquecer entidades para o playbook. Personalize para executar em "Todos os URLs". Como você projetou essa ação para operar em um escopo de entidade específico, não é necessário definir o campo Nome de domínio, como fez com a ação anterior.

Adicionar a ação "Insights da entidade"

Adicione a ação Adicionar insights de entidade, que faz parte da integração do Google SecOps:

1. Defina o escopo. Para o escopo Entidade, selecione Todos os URLs, como fez nas ações anteriores do playbook.
2. Extraia o campo JSON. No campo Insight, abra o Criador de expressões do Google SecOps para extrair o campo "País" do resultado JSON.
3. Abra o criador de expressões para a saída JSON: clique no ícone de marcador de posição (data_array), escolha a lista de playbooks e selecione WHOIS XML API_Get Domain Details_1.JsonResult. Isso abre o criador de expressões para a saída JSON.

Extrair o campo "country" do JSON

A amostra JSON no criador de expressões é a mesma que você inseriu no ambiente de desenvolvimento integrado para Criar sua ação personalizada. Para extrair o campo "País", siga estas etapas:

1. Clique em País no JSON.
2. Clique em arrow_right Executar para testar o marcador de posição e ver o resultado no campo Resultados.

Criar uma entidade

Para executar a ação Está na lista personalizada, crie uma nova entidade do país relacionada ao domínio. Para isso, siga estas etapas:

1. Em Integração do Google SecOps, arraste a ação Criar entidade para o playbook.
2. Configure a ação para ser executada em Todos os URLs.
3. Use o criador de expressões para inserir o marcador de posição country no campo Entidade identificada. Em Tipo de entidade, escolha Entidade genérica e clique em Salvar.
4. Adicione a ação Está na lista personalizada:
1. Arraste a ação para o playbook.
2. Configure para que ele seja executado em todas as entidades genéricas (a entidade que você acabou de criar).
3. Em Categoria, adicione a categoria que você configurou para sua lista personalizada de países da OCDE.
5. Adicione a condição IF ao playbook para determinar se o país do domínio exige mais investigação. A primeira ramificação verifica se o resultado do script para Está na lista personalizada retornou um resultado falso, e a ramificação Else vai para o resultado oposto.
• Adicione a ação Condição IF ao seu playbook. Duas ramificações vão aparecer.
6. Personalize a primeira ramificação. A primeira ramificação é executada se a ação Está na lista personalizada retornar um resultado falso. Isso significa que o país do domínio não está na sua lista personalizada de países da OCDE e requer mais investigação.
7. Para a primeira ação nesta ramificação, arraste uma ação Tag de caso da integração do Google SecOps.

Atribuir o caso a um nível mais alto

Atribua o caso a um nível mais alto para investigar mais a fundo. Para isso, siga estas etapas:

1. Arraste a ação Atribuir caso para o playbook.
2. Escolha @Tier2 como o Usuário atribuído.

Mudar a prioridade

Mude a prioridade para Alta usando a ação Mudar prioridade do Google SecOps > clique em Salvar.

Personalizar a ramificação "Else"

Depois de terminar a primeira ramificação, você pode personalizar a ramificação Else. Essa ramificação processa casos em que o país do domínio é um país da OCDE, que você decidiu não precisar de mais investigação. Para configurar a ramificação Else, siga estas etapas:

1. Adicione uma tag de caso, como você fez na primeira ramificação, com o rótulo Em países da OCDE.
2. Adicione uma ação Fechar caso a essa ramificação. Como o encerramento de um caso é uma ação sensível, configure para que ele seja executado manualmente. Na seção Configurações da ação, selecione o modo Manual.
3. Na seção Parâmetros da ação Encerrar caso, adicione o Motivo, a Causa principal e o Comentário.
4. Clique em Salvar para salvar o playbook com os parâmetros adicionados.

Ver a execução do playbook

Para ver sua automação personalizada em ação, siga estas etapas:

1. Em Casos, clique em add Adicionar > Simular casos.
2. Selecione o caso E-mail de phishing > clique em Criar.
3. Selecione o Ambiente > clique em Simular para simular a execução do playbook.
4. Confira o playbook em execução no alerta e os resultados de cada ação.