Cómo asignar vínculos de aprobación en acciones

Usa los vínculos de aprobación para enviar a los usuarios acciones manuales que esperan la entrada del usuario (acciones pendientes) fuera de la plataforma. Por ejemplo, si trabajas con un usuario final que no tiene acceso a Google Security Operations, puedes enviarle por correo electrónico el vínculo de aprobación y (de manera similar al widget Acciones pendientes o la pestaña Acciones pendientes en Tu escritorio de trabajo) podrá aprobar o rechazar la acción desde donde se encuentre.

Como proveedor de servicios de seguridad administrados (MSSP), deseas poner en cuarentena una computadora infectada en el sitio de tu cliente final, pero quieres que el administrador de TI de la empresa del cliente final apruebe esta acción primero. Para enviar esta solicitud de aprobación o rechazo de la acción al administrador de TI por correo electrónico, deberás asignar un vínculo de aprobación en la acción.

Cómo asignar un vínculo de aprobación en una acción

En este caso de uso, se describe cómo un MSSP puede crear un manual basado en una alerta de phishing sospechosa.

1. En el playbook que estás creando, selecciona la acción Carbon Black Quarantine Device. Esta acción es la que quieres que apruebe el usuario final. 
2. Cambia el Tipo de acción a Manual. Aparecerá el botón de activación Vínculo de aprobación.
3. Activa el botón de activación Vínculo de aprobación. Esto crea automáticamente marcadores de posición (con vínculos para aprobar o rechazar el dispositivo en cuarentena) que luego se pueden usar en cualquier acción anterior a esta en la guía.
   Puedes asignar la acción manual a un usuario o rol del SOC específico, o bien dejarla en blanco.
4. De manera opcional, puedes habilitar el botón de activación Tiempo de respuesta junto con el botón de activación Vínculo de aprobación. Esto especificará una hora específica en la que el usuario final (o cualquier persona en la plataforma) debe responder el correo electrónico haciendo clic en uno de los vínculos.
5. Arrastra una acción Enviar correo electrónico directamente antes de la acción Dispositivo en cuarentena de Carbon Black en el playbook.
6. En la acción Enviar correo electrónico, completa la dirección de correo electrónico del destinatario.
7. Mientras estás en el cuerpo del correo electrónico, haz clic en el marcador de posición data_array y, luego, en los vínculos individuales Aprobar y Rechazar para colocarlos en el mensaje.
8. Asegúrate de haber escrito un correo electrónico antes de agregar los marcadores de posición.
   Sugerencia profesional: Encierra la oración en vínculos HTML para que el vínculo de aprobación aparezca como un vínculo de hipertexto.
9. Guarda la guía.

Después de guardar la guía, se iniciará la ejecución cuando llegue una alerta entrante que coincida con el activador. Cuando el flujo llega al paso Send Email, se envía un correo electrónico al destinatario que contiene los vínculos de acción Approve y Decline.

Estos vínculos de aprobación son completamente portátiles y puedes usarlos en varios lugares, como un widget HTML en una vista de guía personalizada, una acción Enviar a Slack o una acción Enviar SMS con Twilio.