Attribuer des actions et des blocs de playbook

Compatible avec :

Vous pouvez attribuer des actions ou des blocs de playbook à un utilisateur ou à un rôle SOC spécifique dans le concepteur de playbook. La personne à qui l'action ou le bloc de playbook manuel est attribué décide du résultat de l'exécution du playbook. Vous pouvez inclure un message concernant l'action que la personne à qui elle est attribuée doit effectuer. Vous pouvez également activer le Délai de réponse et ajouter le temps dont elle dispose pour effectuer l'action. Le compte à rebours commence lorsque le playbook atteint cette partie du flux.

Si la personne à qui l'action est attribuée ne répond pas dans le délai imparti, l'action échoue. Lorsque vous créez votre playbook, veillez à utiliser Si l'étape échoue pour décider s'il faut arrêter complètement le playbook à cette étape ou l'ignorer. Vous pouvez également utiliser l'étape conditionnelle Si l'étape précédente a échoué pour orienter le flux du playbook dans une autre direction.

Pour en savoir plus sur l'attribution d'actions aux utilisateurs finaux, consultez Attribuer des liens d'approbation dans les actions.

Attribuer une action dans un playbook

  1. Double-cliquez sur l'action requise dans le playbook. 
  2. Sélectionnez Manuel dans la liste Type d'action.
  3. Sélectionnez l'utilisateur ou le rôle SOC dans la liste Attribuer à.
  4. Ajoutez un message expliquant ce qui doit être fait. Vous avez la possibilité d'insérer un espace réservé dans votre message. Ce message s'affiche pour l' utilisateur dans le widget Actions en attente de la vue d'ensemble de la demande et dans Votre espace de travail.
  5. Si vous le souhaitez, activez le Délai de réponse et saisissez le délai dans lequel l'action doit être effectuée.
    Si l'utilisateur ne répond pas dans le délai sélectionné, vous pouvez choisir d'utiliser Si l'étape échoue avec Si l'action précédente a échoué dans l'étape conditionnelle suivante du playbook pour contrôler le flux.
  6. Cliquez sur Enregistrer.

Une fois qu'un playbook est déclenché, généralement après l'ingestion d'une alerte dans la plate-forme, il s'exécute jusqu'à l'action manuelle. Cette action s'affiche dans le widget Actions en attente de la vue d'ensemble de la demande et dans Votre espace de travail. L'utilisateur doit exécuter ou ignorer l'action. 

Attribuer des blocs de playbook

  1. Ouvrez le playbook requis avec un bloc existant.
  2. Double-cliquez sur le bloc de playbook. Notez que le bloc s'affiche en vert.
  3. Sélectionnez Action manuelle dans la liste Type d'action.
  4. Sélectionnez l'utilisateur ou le rôle SOC dans la liste Attribuer à.
  5. Ajoutez un message expliquant ce qui doit être fait. Vous avez la possibilité d'insérer un espace réservé dans votre message. L'utilisateur recevra un message lorsque son entrée sera requise.
  6. Si nécessaire, activez le champ Délai d'enregistrement et saisissez le délai dont dispose la personne à qui l'action est attribuée pour approuver ou refuser le bloc de playbook.
  7. Cliquez sur Enregistrer.

Une fois qu'une demande a été ingérée dans la plate-forme et qu'une alerte déclenche le playbook, il s'exécute jusqu'à l'action manuelle. L'action manuelle s'affiche dans le widget Actions en attente de la vue d'ensemble de la demande et de l'alerte, ou dans Votre espace de travail. Si le champ Délai de réponse a été rempli, un compteur s'affiche avec le temps dont dispose l'utilisateur pour répondre à cette action.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.