Assegnare link di approvazione nelle azioni

Utilizza i link di approvazione per inviare agli utenti le azioni manuali in attesa di input (azioni in attesa) al di fuori della piattaforma. Ad esempio, se collabori con un utente finale che non ha accesso a Google Security Operations, puoi inviargli via email il link di approvazione e (in modo simile al widget Azioni in attesa o alla scheda Azioni in attesa in Your Workdesk), può approvare o rifiutare l'azione ovunque si trovi.

In qualità di fornitore di servizi di sicurezza gestiti (MSSP), vuoi mettere in quarantena un computer infetto nel sito del tuo cliente finale, ma vuoi che il responsabile IT dell'azienda del cliente finale approvi prima questa azione. Per inviare questa richiesta di approvazione o rifiuto dell'azione al responsabile IT via email, devi assegnare un link di approvazione nell'azione.

Assegnare un link di approvazione in un'azione

Questo caso d'uso descrive come un MSSP può creare un playbook basato su un avviso di phishing sospetto.

1. Nel playbook che stai creando, seleziona l'azione Metti in quarantena il dispositivo Carbon Black. Questa azione è quella che vuoi che l'utente finale approvi. 
2. Imposta Action Type (Tipo di azione) su Manual (Manuale). Viene visualizzato il pulsante di attivazione/disattivazione Link di approvazione.
3. Fai clic sul pulsante di attivazione/disattivazione Link di approvazione. In questo modo vengono creati automaticamente segnaposto (con link per approvare o rifiutare la quarantena del dispositivo) che possono essere utilizzati in qualsiasi azione precedente a questa nel playbook.
   Puoi assegnare l'azione manuale a un utente o a un ruolo SOC specifico oppure lasciare il campo vuoto.
4. Se vuoi, puoi attivare il pulsante di attivazione/disattivazione Tempo per rispondere insieme al pulsante di attivazione/disattivazione Link di approvazione. In questo modo verrà specificato un orario specifico entro il quale l'utente finale (o chiunque altro sulla piattaforma) deve rispondere all'email facendo clic su uno dei link.
5. Trascina un'azione Invia email direttamente prima dell'azione Metti in quarantena dispositivo Carbon Black nel playbook.
6. Nell'azione Invia email, compila l'indirizzo email del destinatario.
7. Nel corpo dell'email, fai clic sul segnaposto data_array e sui singoli link Approva e Rifiuta per inserirli nel messaggio.
8. Assicurati di aver scritto un'email prima di aggiungere i segnaposto.
   Suggerimento professionale: racchiudi la frase in link HTML in modo che il link di approvazione venga visualizzato come link ipertestuale.
9. Salva il playbook.

Dopo aver salvato il playbook, l'esecuzione viene avviata da un avviso in arrivo che corrisponde al trigger. Quando il flusso raggiunge il passaggio Invia email, viene inviata un'email al destinatario contenente i link di azione Approva e Rifiuta.

Questi link di approvazione sono completamente portatili e possono essere utilizzati in vari punti, ad esempio in un widget HTML in una visualizzazione playbook personalizzata, in un'azione Invia a Slack o in un'azione Invia SMS con Twilio.