创建您的第一个自动化操作

支持的平台:

本文档介绍了如何使用您在创建自定义操作中创建的操作来创建第一个自动化操作。

您将构建的剧本适用于基本的钓鱼式攻击用例,并可自动执行以下步骤:

  • 提取网域详细信息:playbook 从提醒中发现的网址中提取网域。
  • 丰富网域:然后,它会使用其他信息来丰富实体。
  • 添加数据洞见:playbook 会添加包含网域所在国家/地区的数据洞见。
  • 检查自定义列表:检查相应国家/地区是否在自定义列表中。
  • 使用 IF 条件IF 条件用于根据国家/地区是否在自定义列表中来确定相应支持请求是否需要进一步调查。

在 playbook 设计器中启用操作

如需确保您创建的自定义操作在集成开发环境 (IDE) 中处于启用状态,请点击启用切换开关,以切换到开启位置。启用后,您可以在 playbook 设计器中使用这些操作。

创建 OECD 国家的自定义列表

如需确定某个网域所在的国家/地区是否需要进一步调查,您需要创建经济合作与发展组织 (OECD) 国家的自定义列表。然后,您可以在 playbook 中使用此列表来对照网域的国家/地区。

如需创建 OECD 国家的自定义列表,请按以下步骤操作:

  1. 依次前往设置 > 环境
  2. 点击自定义列表
  3. 自定义名单部分中,依次点击 添加 添加
  4. 添加自定义列表对话框中,输入实体标识符类别环境
  5. 点击 Add(添加)。

创建自动化 playbook

如需创建自动化剧本,请按以下步骤操作:

  1. 前往 Playbook 设计器,然后点击 添加
  2. 创建新内容对话框中,选择剧本单选按钮。
  3. 为 playbook 选择文件夹和环境。
  4. 在 playbook 开关旁边输入 playbook 名称,开始自定义 playbook。

导入预建 playbook

如需导入预建的剧本,请按以下步骤操作:

  1. Playbook 设计器中,依次点击 列表 > 导入
    创建我的第一个自动化 playbook
  2. 每个 playbook 都以触发器开头。如需设置此 playbook 的触发器,请将所有触发器从触发器菜单拖动到 playbook 的第一步。这会导致每当 Google Security Operations 收到提醒时,playbook 都会被激活。

创建策略方案

如需使用“WHOIS XML API”集成中的操作创建剧本,请按以下步骤操作:

  1. Actions(操作)标签页中,点击 WHOIS XML API 列表。您的自定义操作将显示在集成名称下方。如果它们不可见,请确认它们已在 IDE 模块中启用并保存。
  2. 获取网域详细信息操作拖动到 playbook 中,将其放置在触发器之后。

自定义操作

您可以自定义要在特定范围内运行的操作。在此示例中,对所有网址实体运行操作。对于网域名字段,请使用 Entity.Identifier 占位符。

如需进行这些自定义设置,请执行以下操作:

  1. 插入占位符:点击 占位符,然后在搜索栏中搜索 Entity.Identifier。此操作会连接到“WHOIS”网站,提取网域的详细信息,并以 JSON 格式呈现这些信息。
  2. 定义范围。该操作会连接到“WHOIS”网站,提取网域详细信息,并以 JSON 格式呈现这些信息。
  3. 查看适用范围。您为操作定义的 Check Availability 参数会检查网域是否可用。
  4. 添加获取网域详细信息操作后,将丰富实体操作拖动到剧本中。自定义为在所有网址上运行。由于您将此操作设计为在特定实体范围内运行,因此无需像之前的操作那样定义域名字段。

添加实体洞察操作

添加 Add Entity Insight 操作,该操作是 Google SecOps 集成的一部分:

  1. 定义范围。对于实体范围,请选择所有网址,就像您在剧本中针对之前的操作所做的那样。
  2. 提取 JSON 字段。在 Insight 字段中,打开 Google SecOps 表达式构建器,以从 JSON 结果中提取国家/地区字段。
  3. 打开 JSON 输出的表达式构建器:点击占位符图标 (data_array),选择 playbook 列表,然后选择 WHOIS XML API_Get Domain Details_1.JsonResult。系统随即会打开 JSON 输出的表达式构建器。

从 JSON 中提取国家/地区字段

表达式构建器中的 JSON 示例与您在 IDE 中为创建自定义操作插入的 JSON 示例相同。如需提取“国家/地区”字段,请按以下步骤操作:

  1. 点击 JSON 中的 Country
  2. 点击arrow_right 运行以测试占位符,并在结果字段下查看结果。

创建实体

如需运行位于自定义列表操作,您需要根据与网域相关的国家/地区创建新实体。请按以下步骤进行此操作:

  1. Google SecOps 集成中,将创建实体操作拖动到 playbook 中。
  2. 将操作配置为在所有网址上运行。
  3. 使用表达式构建器在 Entity Identifies 字段中插入 country 占位符。对于实体类型,选择通用实体,然后点击保存
  4. 添加位于自定义列表中操作:
    1. 将操作拖动到 playbook 中。
    2. 将其配置为在所有通用实体(您刚刚创建的实体)上运行。
    3. 对于类别,添加您为自定义 OECD 国家/地区列表配置的类别。
  5. 向 playbook 添加 IF 条件,以确定网域的国家/地区是否需要进一步调查。第一个分支用于检查 Is in Custom list 的脚本结果是否返回了 false 结果,而 Else 分支将转到相反的结果。
    • IF 条件操作添加到 playbook 中。系统会显示两个分支。
  6. 自定义第一个分支。如果“是否在自定义列表中”操作返回 false 结果,则执行第一个分支。这意味着相应网域的国家/地区不在您的 OECD 国家/地区自定义列表中,需要进一步调查。
  7. 对于此分支中的第一个操作,请从 Google SecOps 集成中拖动案例标记操作。

将支持请求分配给更高级别的支持人员

将支持请求分配给更高级别的支持人员,以便进一步调查此支持请求。请按以下步骤进行此操作:

  1. 分配支持请求操作拖动到 playbook 中。
  2. 选择 @Tier2 作为分配的用户

更改优先级

使用 Google SecOps 更改优先级操作将优先级更改为 > 点击保存

自定义 Else 分支

完成第一个分支后,您可以自定义 Else 分支。 此分支用于处理网域所属国家/地区为 OECD 国家/地区的情况,您已决定无需对此类情况进行进一步调查。如需配置 Else 分支,请按以下步骤操作:

  1. 添加一个与第一个分支中相同的案例标记,并添加标签 In OECD countries
  2. 向此分支添加关闭支持请求操作。由于关闭支持请求是一项敏感操作,因此您应将其配置为手动运行。在操作的设置部分,选择手动模式。
  3. 关闭支持请求操作的参数部分中,添加原因根本原因评论
  4. 点击保存以保存添加了参数的 playbook。

查看 playbook 执行情况

如需查看自定义自动化功能的实际效果,请按以下步骤操作:

  1. 支持请求中,依次点击 添加 添加 > 模拟支持请求
  2. 选择钓鱼式电子邮件支持请求> 点击创建
  3. 依次选择环境 > 点击模拟以模拟 playbook 执行。
  4. 查看针对相应提醒运行的 playbook,并查看 playbook 中每项操作的结果。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。