建立第一個自動化動作

支援的國家/地區:

本文說明如何使用您在「建立自訂動作」中建立的動作,製作第一個自動化動作。

您要建立的應對手冊適用於基本網路釣魚用途,並會自動執行下列步驟:

  • 擷取網域詳細資料:劇本會從快訊中的網址擷取網域。
  • 擴充網域:然後以額外資訊擴充實體。
  • 新增洞察資料:劇本會新增包含網域國家/地區的洞察資料。
  • 檢查自訂清單:檢查國家/地區是否在自訂清單中。
  • 使用 IF 條件IF 條件會根據國家/地區是否在自訂清單中,判斷案件是否需要進一步調查。

在應對手冊設計工具中啟用動作

如要確保您建立的自訂動作已在整合開發環境 (IDE) 中啟用,請將「Enable」(啟用) 切換鈕設為開啟。啟用後,您就能在應對手冊設計工具中使用這些動作。

建立 OECD 國家/地區的自訂清單

如要判斷網域的國家/地區是否需要進一步調查,請建立經濟合作暨發展組織 (OECD) 國家/地區的自訂清單。然後在劇本中使用這份清單,根據網域的國家/地區進行檢查。

如要建立 OECD 國家/地區的自訂名單,請按照下列步驟操作:

  1. 依序前往「設定」>「環境」
  2. 按一下「自訂清單」
  3. 在「自訂名單」部分中,按一下「新增」
  4. 在「新增自訂清單」對話方塊中,輸入「實體 ID」、「類別」和「環境」
  5. 按一下「新增」

建立自動化應對手冊

如要建立自動化劇本,請按照下列步驟操作:

  1. 前往應對手冊設計工具,然後按一下「新增」圖示
  2. 在「Create New」對話方塊中,選取「Playbook」單選按鈕。
  3. 選擇應對手冊的資料夾和環境。
  4. 輸入應對手冊名稱 (應對手冊切換按鈕旁),開始自訂應對手冊。

匯入預先建立的應對手冊

如要匯入預先建立的劇本,請按照下列步驟操作:

  1. 劇本設計工具中,依序點按「清單」>「匯入」
    建立我的第一個自動化應對手冊
  2. 每個劇本都從觸發條件開始。如要設定這項應對手冊的觸發條件,請將「所有」觸發條件從「觸發條件」選單拖曳至應對手冊的第一個步驟。這樣一來,每當有警告擷取至 Google Security Operations,系統就會啟動應對手冊。

建立應對手冊

如要使用「WHOIS XML API」整合中的動作建立劇本,請按照下列步驟操作:

  1. 在「動作」分頁中,按一下「WHOIS XML API」清單。自訂動作會顯示在整合名稱下方。如果沒有顯示,請確認已在 IDE 模組中啟用並儲存這些變數。
  2. 將「Get Domain Details」(取得網域詳細資料) 動作拖曳到劇本中,並放在觸發條件之後。

自訂動作

您可以自訂要在特定範圍執行的動作。在本例中,對所有網址實體執行動作。網域名稱欄位請使用 Entity.Identifier 預留位置。

如要進行這些自訂作業,請按照下列步驟操作:

  1. 插入預留位置:按一下「預留位置」,然後在搜尋列中搜尋 Entity.Identifier。這項動作會連線至「WHOIS」網站,擷取網域詳細資料,並以 JSON 格式呈現。
  2. 定義範圍。這項動作會連線至「WHOIS」網站、擷取網域詳細資料,並以 JSON 格式呈現。
  3. 查看供應情形。您為動作定義的「檢查可用性」參數會檢查網域是否可用。
  4. 新增「取得網域詳細資料」動作後,將「擴充實體」動作拖曳至劇本。將其自訂為在所有網址上執行。由於您設計這項動作時,是針對特定實體範圍,因此不需要定義「網域名稱」欄位,就像先前的動作一樣。

新增「實體洞察」動作

新增「Add Entity Insight」(新增實體洞察) 動作,這是 Google SecOps 整合的一部分:

  1. 定義範圍。針對「實體」範圍,請選取「所有網址」,就像您在應對手冊中對先前動作所做的操作一樣。
  2. 擷取 JSON 欄位。在「Insight」欄位中,開啟「Google SecOps Expression builder」,從 JSON 結果中擷取國家/地區欄位。
  3. 開啟 JSON 輸出內容的運算式產生器:按一下預留位置圖示 (data_array),選擇劇本清單,然後選取 WHOIS XML API_Get Domain Details_1.JsonResult。系統會開啟 JSON 輸出的運算式建立工具。

從 JSON 擷取國家/地區欄位

運算式建構工具中的 JSON 範例,與您在 IDE 中插入的「建立自訂動作」相同。如要擷取「國家/地區」欄位,請按照下列步驟操作:

  1. 按一下 JSON 中的「Country」
  2. 按一下「arrow_right」arrow_right 執行測試預留位置,並在「結果」欄位下方查看結果。

建立實體

如要執行「Is in custom list」(位於自訂清單中) 動作,您需要從與網域相關的國家/地區建立新實體。詳細步驟如下:

  1. 從「Google SecOps Integration」(Google SecOps 整合) 拖曳「Create Entity」(建立實體) 動作到應對手冊中。
  2. 將動作設定為在「所有網址」上執行。
  3. 使用運算式建構工具,在「實體識別碼」欄位中插入 country 預留位置。在「Entity Type」(實體類型) 部分選擇「Generic Entity」(一般實體),然後按一下「Save」(儲存)
  4. 新增「Is in Custom List」(是否在自訂清單中) 動作:
    1. 將動作拖曳到應對手冊。
    2. 將其設定為在所有一般實體 (您剛才建立的實體) 上執行。
    3. 在「類別」中,新增您為 OECD 國家/地區自訂清單設定的類別。
  5. 在劇本中新增 IF 條件,判斷網域的國家/地區是否需要進一步調查。第一個分支會檢查「Is in Custom list」指令碼結果是否傳回 false 結果,而「Else」分支則會前往相反的結果。
    • 將「IF Condition」(IF 條件) 動作新增至劇本。畫面會顯示兩個分支。
  6. 自訂第一個分支。如果「Is in Custom List」(是否在自訂清單中) 動作傳回 false 結果,系統就會執行第一個分支。這表示網域的國家/地區不在 OECD 國家/地區的自訂清單中,需要進一步調查。
  7. 在這個分支的第一個動作中,從 Google SecOps 整合服務拖曳「案件標記」動作。

將案件指派給較高的層級

將案件指派給更高層級的支援團隊,以進一步調查。詳細步驟如下:

  1. 將「指派案件」動作拖曳至應對手冊。
  2. 選擇「@Tier2」做為「指派使用者」

變更優先順序

使用「Google SecOps Change Priority」動作將優先順序變更為「高」> 點選「儲存」

自訂 Else 分支

完成第一個分支後,即可自訂「Else」分支。 這個分支會處理網域國家/地區屬於 OECD 國家/地區的案件,您已決定這類案件不需要進一步調查。如要設定「Else」分支,請按照下列步驟操作:

  1. 如第一個分支一樣,新增標籤為「In OECD countries」(在 OECD 國家/地區) 的案件標記。
  2. 在這個分支版本中新增「結案」動作。由於關閉案件是敏感操作,因此您應將其設為手動執行。在動作的「設定」部分,選取「手動」模式。
  3. 在「關閉案件」動作的「參數」部分,新增「原因」、「根本原因」和「註解」
  4. 按一下「儲存」,儲存加入參數的劇本。

查看應對手冊執行情況

如要查看自訂自動化動作的實際運作情形,請按照下列步驟操作:

  1. 在「案件」中,依序點選「新增」 >「模擬案件」
  2. 選取「網路釣魚電子郵件」案件 > 點選「建立」
  3. 選取「環境」> 點選「模擬」,模擬執行劇本。
  4. 查看在快訊上執行的應對手冊,以及應對手冊中每個動作的結果。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。