Asignar enlaces de aprobación en acciones

Usa los enlaces de aprobación para enviar a los usuarios externos a la plataforma las acciones manuales que estén pendientes de su respuesta. Por ejemplo, si trabajas con un usuario final que no tiene acceso a Google Security Operations, puedes enviarle por correo electrónico el enlace de aprobación y, al igual que en el widget Acciones pendientes o en la pestaña Acciones pendientes de Tu espacio de trabajo, podrá aprobar o rechazar la acción desde cualquier lugar.

Como proveedor de servicios de seguridad gestionados (MSSP), quieres poner en cuarentena un ordenador infectado en el sitio de tu cliente final, pero quieres que el responsable de TI de la empresa del cliente final apruebe esta acción primero. Para enviar esta solicitud al jefe de TI por correo electrónico para que apruebe o rechace la acción, deberá asignar un enlace de aprobación a la acción.

Asignar un enlace de aprobación en una acción

En este caso práctico se describe cómo puede crear un playbook un proveedor de servicios de seguridad gestionados (MSSP) a partir de una alerta de phishing sospechosa.

1. En el manual de procedimientos que estés creando, selecciona la acción Carbon Black Quarantine Device. Esta es la acción que quieres que apruebe el usuario final. 
2. Cambia el Tipo de acción a Manual. Aparecerá el interruptor Enlace de aprobación.
3. Activa el interruptor Enlace de aprobación. De esta forma, se crean automáticamente marcadores de posición (con enlaces para aprobar o rechazar el dispositivo en cuarentena) que se pueden usar en cualquier acción anterior a esta en el manual de procedimientos.
   Puedes asignar la acción manual a un usuario o rol de SOC específico, o dejarlo en blanco.
4. También puedes habilitar el interruptor Tiempo de respuesta junto con el interruptor Enlace de aprobación. De esta forma, se especificará una hora concreta antes de la cual el usuario final (o cualquier persona de la plataforma) deberá responder al correo haciendo clic en uno de los enlaces.
5. Arrastra una acción Enviar correo directamente antes de la acción Dispositivo de cuarentena Carbon Black en el cuaderno de estrategias.
6. En la acción Enviar correo, indica la dirección de correo del destinatario.
7. En el cuerpo del correo, haz clic en el data_array marcador de posición y, a continuación, en los enlaces Aprobar y Rechazar para insertarlos en el mensaje.
8. Asegúrate de haber escrito un correo antes de añadir los marcadores de posición.
   Consejo: Envuelve la frase en enlaces HTML para que el enlace de aprobación aparezca como un enlace de hipertexto.
9. Guarda tu guía.

Cuando guardes el manual, se activará una alerta entrante que coincida con el activador. Cuando el flujo llega al paso Enviar correo, se envía un correo al destinatario con los enlaces de acción Aprobar y Rechazar.

Estos enlaces de aprobación son totalmente portátiles, por lo que puedes usarlos en varios lugares, como un widget HTML en una vista de cuaderno de jugadas personalizado, una acción Enviar a Slack o una acción Enviar SMS con Twilio.