Attribuer des actions et des blocs de playbook

Compatible avec :

Vous pouvez attribuer des actions ou des blocs de playbook à un utilisateur ou à un rôle SOC spécifique dans le concepteur de playbooks. L'attributaire décide du résultat de l'action manuelle ou du bloc de playbook pour l'exécution du playbook. Vous pouvez inclure un message sur l'action que le responsable doit effectuer. Vous pouvez également activer l'option Temps de réponse et ajouter le temps dont les utilisateurs disposent pour effectuer l'action. Le minuteur lance le compte à rebours lorsque le playbook atteint cette partie du flux.

Si l'utilisateur ne répond pas dans le délai imparti pour effectuer l'action, celle-ci échouera. Lorsque vous créez votre playbook, veillez à utiliser Si l'étape échoue pour décider si vous souhaitez arrêter complètement le playbook à cette étape ou l'ignorer. Vous pouvez également utiliser l'étape conditionnelle Si l'étape précédente a échoué pour orienter le flux du playbook dans une autre direction.

Pour en savoir plus sur l'attribution d'actions aux utilisateurs finaux, consultez Attribuer des liens d'approbation dans les actions.

Attribuer une action dans un playbook

  1. Double-cliquez sur l'action requise dans le playbook. 
  2. Sélectionnez Manuel dans la liste Type d'action.
  3. Sélectionnez l'utilisateur ou le rôle SOC dans la liste Attribuer à.
  4. Ajoutez un message expliquant ce qui doit être fait. Vous pouvez insérer un espace réservé dans votre message. Ce message s'affiche dans le widget Actions en attente de l'aperçu de la demande et dans Votre bureau.
  5. Vous pouvez également activer l'option Délai de réponse et saisir le délai dans lequel l'action doit être effectuée.
    Si l'utilisateur ne répond pas dans le délai sélectionné, vous pouvez choisir d'utiliser Si l'étape échoue avec Si l'action précédente échoue dans l'étape conditionnelle suivante du playbook pour contrôler le flux.
  6. Cliquez sur Enregistrer.

Une fois qu'un playbook est déclenché, généralement après l'ingestion d'une alerte dans la plate-forme, il s'exécute jusqu'à l'action manuelle. Cette action s'affiche dans le widget Actions en attente de l'aperçu de la demande et dans Votre bureau. L'utilisateur doit exécuter ou ignorer l'action. 

Attribuer des blocs de playbook

  1. Ouvrez le playbook requis avec un bloc existant.
  2. Double-cliquez sur le bloc de playbook. Notez que le bloc s'affiche en vert.
  3. Sélectionnez Action manuelle dans la liste Type d'action.
  4. Sélectionnez l'utilisateur ou le rôle SOC dans la liste Attribuer à.
  5. Ajoutez un message expliquant ce qui doit être fait. Vous pouvez insérer un espace réservé dans votre message. L'utilisateur recevra un message lorsque sa saisie sera requise.
  6. Si nécessaire, activez le champ Délai pour enregistrer et saisissez le délai dont dispose l'attributaire pour approuver ou refuser le bloc du playbook.
  7. Cliquez sur Enregistrer.

Une fois qu'une demande a été ingérée dans la plate-forme et qu'une alerte déclenche le playbook, celui-ci s'exécute jusqu'à l'action manuelle. L'action manuelle s'affiche dans le widget Actions en attente de l'aperçu du cas et de l'aperçu de l'alerte, ou sur Votre bureau. Si le champ Délai de réponse a été rempli, un ticker s'affiche avec le temps dont dispose l'utilisateur pour répondre à cette action.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.