Seite „Playbooks“ aufrufen

Unterstützt in:

Ein Playbook basiert auf Triggern, Aktionen und Abläufen, die zusammenarbeiten, um die Incident Response und andere Sicherheitsvorgänge zu automatisieren. Wenn ein Auslöser ein Playbook startet, werden eine Reihe definierter Aktionen ausgeführt, um eine bestimmte Lösung zu erreichen.

Die Ausführung eines Playbooks folgt einem organisierten Ablauf:

  • Auslöser (gelbes Feld): Dies ist die obligatorische erste Komponente, die das Playbook startet. Sie definiert die Bedingungen oder Ereignisse, die die Ausführung des Playbooks auslösen.
  • Aktionen (blauer Kasten): Nach dem Auslöser wechselt das Playbook zu einer Reihe definierter Aktionen, die ausgeführt werden müssen. Das sind die spezifischen Aufgaben oder Vorgänge, die das Playbook ausführt, z. B. Daten anreichern, Nutzer benachrichtigen oder einen kompromittierten Host isolieren.
  • Ablauf (lila Kästchen): In der letzten Komponente wird der Ablauf des Playbooks festgelegt, in der Regel mit `if-then-else`-Bedingungen. Mit dieser Methode kann das Playbook Entscheidungen auf Grundlage der Ergebnisse früherer Aktionen treffen und sich in verschiedene Pfade verzweigen, um eine endgültige Lösung zu erreichen.

Seite „Playbooks“ öffnen

Rufen Sie die Seite Playbooks auf, indem Sie zu Antwort > Playbooks gehen.

Folgende Aktionen sind möglich:

  • Plus addicon: Hier können Sie ein neues Playbook oder einen neuen Block hinzufügen. Wählen Sie den Ordner und die Umgebung für Ihr neues Playbook oder Ihren neuen Block aus. Sie können eine oder mehrere Umgebungen, Umgebungsgruppen oder eine Kombination aus beidem auswählen. Wenn ein Playbook mit einer bestimmten Umgebungsgruppe verknüpft ist, wird sein Umfang automatisch aktualisiert, wenn sich der Umfang der Umgebungsgruppe ändert.
  • Bearbeiten multipleselecticon: Wählen Sie einzelne oder mehrere Playbooks und Blöcke für die Verwendung mit dem Menü Aktionen aus. Wenn Sie einen Ordner umbenennen möchten, klicken Sie auf Bearbeiten, bewegen Sie den Mauszeiger auf den Ordnernamen und geben Sie den neuen Namen ein. Nachdem Sie ein Playbook bearbeitet haben, können Sie Playbooks nach Bedarf löschen.
  • Filtern filtericon: Klicken Sie auf  filter_alt Filtern und filtern Sie die Anzeige nach den folgenden Kriterien:
    • Schaltfläche Playbook-Simulator ist aktiviert
    • Ein/Aus-Schaltfläche Aktive Playbooks anzeigen
    • Priorität: Legen Sie die Reihenfolge der Anhänge von Playbooks für die Benachrichtigung fest. Es wird nur ein Playbook automatisch angehängt, basierend auf der Priorität.
    • Umgebungen: Option zur Mehrfachauswahl für Umgebungen und Umgebungsgruppen.
  • Menü Menüsymbol: Klicken Sie auf Bearbeiten Bearbeiten und wählen Sie die gewünschten Playbooks oder Blöcke aus, bevor Sie das Menü verwenden, um Bulk-Aktionen auszuführen:
    • Neuer Ordner: Fügen Sie einen neuen Playbook-Ordner hinzu. Das Playbook übernimmt automatisch alle Änderungen, die an den zugehörigen Umgebungsgruppen vorgenommen werden. Sie können Playbooks, die mit Umgebungsgruppen verknüpft sind, auf Fälle anwenden, die aus einer beliebigen Umgebung in diesen Gruppen stammen.
    • Duplizieren: Erstellen Sie ein dupliziertes Playbook mit den folgenden Optionen:
      • Priorität beibehalten oder ändern
      • Im selben Ordner behalten oder in einen anderen Ordner verschieben
    • Einzelne, mehrere oder alle Umgebungen, wobei alle alle definierten Umgebungen (aktuelle und zukünftige) angibt.
    • Exportieren und Importieren: Übertragen Sie Playbooks und Playbook-Blöcke zwischen Staging- und Produktionsservern. Playbooks werden mit ihren benutzerdefinierten Ansichten exportiert oder importiert. Das System akzeptiert nur ZIP-Dateien für den Import. 
    • Verschieben nach: Verschieben Sie Playbooks und Blöcke in einen anderen Ordner oder erstellen Sie einen neuen Ordner.
    • Löschen: Playbooks und Blöcke löschen. Nachdem Sie auf Löschen geklickt haben, können Sie Playbooks löschen.
  • Suche: Über die Suchleiste können Sie nach dem gewünschten Playbook suchen.

Oberer Bereich des Playbook Designers

Im oberen Bereich des Playbook Designers finden Sie eine umfassende Übersicht und wichtige Steuerelemente für Ihr Playbook. Folgende Funktionen sind verfügbar:

  • Horizontaler Schalter zum Aktivieren oder Deaktivieren des Playbooks für eine schnelle Aktivierung oder Deaktivierung.
  • Kurze Zusammenfassung mit dem Namen des Playbooks, dem Ersteller, dem Erstellungszeitstempel und der zugehörigen Umgebung sowie einer kurzen Beschreibung.
  • Aktivieren Sie den Simulator, um Tests durchzuführen und eine benutzerdefinierte Ansicht für eine bessere Sichtbarkeit hinzuzufügen.

Mit den Funktionen des Playbook Designers können Sie Folgendes tun:

Symbol Beschreibung
openstepicon
Schrittauswahl öffnen 		Öffnet eine Seitenleiste mit den verfügbaren Triggern, Aktionen, Abläufen und Blöcken.
fittoscreenicon
Passt auf den Bildschirm 		Passt das Playbook automatisch so an, dass es vollständig auf dem Bildschirm angezeigt wird.
rearrangeicon
Neu anordnen 		Das Playbook wird auf die Standardanordnung zurückgesetzt.
zoomicon
Zoom 		Zoomt in einen oder mehrere Schritte im Playbook hinein.
downloadpngicon
Herunterladen 		Das Playbook wird als PNG-Datei heruntergeladen.
undoicon
Rückgängig 		Macht alle Änderungen rückgängig, die Sie vorgenommen haben.
redoicon
Wiederholen 		Macht alle Änderungen rückgängig, die Sie zuvor rückgängig gemacht haben.
playbookmonitoringicon
Playbook-Monitoring 		Hier werden die Statistiken für das einzelne Playbook angezeigt.
navigatoricon
Playbook-Navigation 		Hier werden alle Playbook-Aktionen und ‑Abläufe angezeigt.


Weitere Informationen zur Seite Playbooks und zur Zusammenarbeit finden Sie hier:

Legende für Playbook-Symbole

Die folgenden Symbole werden auf dem Tab Fälle> Playbooks angezeigt, wenn ein Playbook angehängt ist.

benutzerdefinierte Benachrichtigungsansicht.
benutzerdefinierte Benachrichtigungsansicht.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten