Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Associer des playbooks à une alerte ou une demande

Compatible avec :

Ce document décrit les limites de pièces jointes et les paramètres de priorité pour les playbooks associés à une alerte ou à une demande dans Google Security Operations. Il explique ensuite comment ajouter manuellement un playbook ou un bloc de playbook à une investigation active.

Limites concernant les pièces jointes et l'exécution

Pour préserver la stabilité de la plate-forme, gardez un œil sur les seuils de capacité suivants :

Limites de portée des alertes : vous pouvez associer un total de 30 playbooks à une même alerte. Un seul playbook peut être associé automatiquement à l'aide d'un déclencheur d'ingestion, et 29 playbooks supplémentaires peuvent être associés manuellement.
Limites de portée des demandes : la plate-forme permet de joindre jusqu'à 30 playbooks directement à un conteneur de demande. Comme pour les playbooks d'alertes, le système limite l'association automatique de playbooks lors de l'ingestion à un playbook de demande par demande.
Limites de réexécution : chaque playbook unique peut être réexécuté 30 fois maximum dans un même cas ou une même alerte.

Priorité d'exécution du playbook

Vous pouvez définir la priorité d'un playbook sur 1 (priorité la plus élevée) ou 3 (priorité la plus basse). Si plusieurs playbooks sont associés, celui ayant la priorité la plus élevée est exécuté en premier. La priorité par défaut est 2 (moyenne).

Associer manuellement un playbook ou un bloc de playbook

Pour ajouter un playbook existant ou un bloc de playbook modulaire directement à une alerte ou à une demande, procédez comme suit :

Dans l'onglet Demandes ou Alertes, cliquez sur le conteneur spécifique auquel vous souhaitez ajouter le playbook.
Dans l'onglet Playbooks, cliquez sur Ajouter un playbook.
Choisissez le playbook ou le bloc de playbook à ajouter.
Définissez la priorité d'exécution (la valeur par défaut est 2).
Si le bloc de playbook sélectionné nécessite des paramètres d'entrée, confirmez ou modifiez les champs de la boîte de dialogue Entrées. Si aucune entrée n'est requise par la logique du bloc, cette boîte de dialogue est automatiquement ignorée.

Le playbook ou le bloc de playbook ajouté s'affiche directement dans l'onglet Playbooks de l'aperçu de la demande ou de l'alerte.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.