在動作中指派核准連結
支援的國家/地區:
Google SecOps
SOAR
使用「核准連結」,將待使用者輸入的手動動作 (待處理動作) 傳送給平台外部的使用者。舉例來說,如果您與無法存取 Google Security Operations 的使用者合作,可以透過電子郵件將核准連結傳送給對方,讓對方隨時隨地核准或拒絕動作 (與「待處理動作」小工具或「您的工作台」中的「待處理動作」分頁類似)。
您是受管理的安全服務供應商 (MSSP),想在終端客戶的網站上隔離受感染的電腦,但希望先由終端客戶公司的 IT 管理員核准這項操作。如要透過電子郵件將這項要求傳送給 IT 經理,請在動作中指派核准連結。
在動作中指派核准連結
這個用途說明 MSSP 如何根據可疑的網路釣魚快訊建立劇本。
- 在您建立的劇本中,選取「Carbon Black Quarantine Device」(隔離 Carbon Black 裝置) 動作。這是您希望使用者核准的動作。
- 將「動作類型」變更為「手動」。系統會顯示「核准連結」 切換按鈕。
- 將「核准連結」切換按鈕設為開啟。這會自動建立預留位置 (附上核准或拒絕隔離裝置的連結),然後可在操作手冊中先於此動作的任何動作中使用。
您可以將手動動作指派給特定使用者或 SOC 角色,也可以留空。 - 你也可以視需要啟用「回覆時間」和「核准連結」切換鈕。這會指定特定時間,使用者 (或平台上的任何人) 必須在該時間前點選其中一個連結來回覆電子郵件。
- 將「傳送電子郵件」動作拖曳到劇本中「Carbon Black Quarantine Device」動作的前面。
- 在「傳送電子郵件」動作中,填寫收件者的電子郵件地址。
- 在電子郵件內文中,按一下「data_array」 預留位置,然後按一下個別的「核准」和「拒絕」連結,將這些連結放入郵件中。
- 請先撰寫電子郵件,再新增預留位置。
專業提示:將句子包裝在 HTML 連結中,核准連結就會顯示為超文字連結。 - 儲存應對手冊。
儲存應對手冊後,如果收到符合觸發條件的快訊,系統就會開始執行應對手冊。流程到達「傳送電子郵件」步驟時,系統會傳送電子郵件給收件者,內含「核准」和「拒絕」動作連結。
這些核准連結完全可攜式,您可以在各種位置使用,例如自訂劇本檢視畫面中的 HTML 小工具、傳送至 Slack 動作,或使用 Twilio 傳送簡訊動作。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。