在操作中分配审批链接

使用审批链接将等待用户输入的手动操作（待处理的操作）发送给平台外部的用户。 例如，如果您正在与无法访问 Google Security Operations 的最终用户协作，则可以通过电子邮件将审批链接发送给对方，这样对方就可以随时随地审批或拒绝相应操作（与待处理的操作 widget 或工作台中的待处理的操作标签页类似）。

作为受管安全服务提供商 (MSSP)，您希望隔离最终客户网站上的一台受感染的计算机，但希望最终客户公司的 IT 经理先批准此操作。如需通过电子邮件将此请求发送给 IT 经理，以供其批准或拒绝相应操作，您需要在相应操作中分配审批链接。

在操作中分配审批链接

此使用情形介绍了 MSSP 如何根据可疑的网络钓鱼提醒构建剧本。

1. 在您构建的 playbook 中，选择 Carbon Black Quarantine Device 操作。此操作是您希望最终用户批准的操作。
2. 将操作类型更改为手动。系统会显示审批链接切换开关。
3. 点击审批链接开关，将其切换为“开启”状态。这会自动创建占位符（包含用于批准或拒绝隔离设备的链接），然后可以在 playbook 中之前的任何操作中使用这些占位符。
   您可以将手动操作分配给特定用户或 SOC 角色，也可以将其留空。
4. （可选）您可以同时启用答复时间切换开关和审批链接切换开关。这会指定一个截止时间，最终用户（或平台中的任何人）必须在该时间之前点击某个链接来回复电子邮件。
5. 将发送电子邮件操作直接拖动到 playbook 中隔离 Carbon Black 设备操作的前面。
6. 在发送电子邮件操作中，填写收件人电子邮件地址。
7. 在电子邮件正文中，点击 data_array 占位符，然后点击各个批准和拒绝链接，将其放置在邮件中。
8. 请务必先撰写电子邮件，然后再添加占位符。
   专业提示：将句子封装在 HTML 链接中，以便审批链接显示为超文本链接。
9. 保存 playbook。

保存 playbook 后，如果收到与触发条件匹配的提醒，系统就会开始执行 playbook。当流程到达发送电子邮件步骤时，系统会向收件人发送一封电子邮件，其中包含批准和拒绝操作链接。

这些审批链接完全可移植；您可以在各种位置使用它们，例如自定义剧本视图中的 HTML widget、“发送到 Slack”操作或“使用 Twilio 发送短信”操作。