Esplorare la pagina Playbook
Supportato in:
Google secops
SOAR
Un playbook è basato su trigger, azioni e flussi, che collaborano per automatizzare la risposta agli incidenti e altre attività di operazioni di sicurezza. Quando un trigger avvia un playbook, esegue una serie di azioni definite per raggiungere una risoluzione specifica.
L'esecuzione di un playbook segue una progressione organizzata:
- Trigger (casella gialla): questo è il primo componente obbligatorio che avvia il playbook. Definisce le condizioni o gli eventi che causano l'esecuzione del playbook.
- Azioni (riquadro blu): dopo il trigger, il playbook passa a un insieme di azioni definite che deve eseguire. Si tratta delle attività o delle operazioni specifiche eseguite dal playbook, come l'arricchimento dei dati, la notifica agli utenti o l'isolamento di un host compromesso.
- Flusso (riquadro viola): l'ultimo componente prevede la determinazione del flusso del playbook, in genere utilizzando condizioni "se-allora-altrimenti". Questo metodo consente al playbook di prendere decisioni in base ai risultati delle azioni precedenti e di ramificarsi in percorsi diversi per raggiungere una risoluzione finale.
Apri la pagina Playbook
Per aprire la pagina Playbook, vai a Risposta > Playbook.
Sono disponibili le seguenti azioni:
-
Plus
: aggiungi un nuovo playbook o blocco. Seleziona la cartella e
l'ambiente per il nuovo playbook o blocco. Puoi selezionare uno o più
ambienti, gruppi di ambienti o una combinazione di entrambi. Se un
playbook è associato a un gruppo di ambienti specifico, il suo
ambito viene aggiornato automaticamente se l'ambito del gruppo di ambienti cambia.
-
Modifica
: seleziona uno o più playbook e blocchi da utilizzare con il menu Azioni. Per rinominare una cartella, fai clic su
Modifica, tieni il puntatore sopra il nome della cartella e inserisci
il nuovo nome. Una volta modificato un playbook, puoi eliminarlo in base alle esigenze.
-
Filtro
: fai clic su
filter_alt
Filtra e filtra la visualizzazione in base ai seguenti criteri: - Il simulatore di playbook è attivo
- Attivazione/disattivazione Mostra playbook attivi
- Priorità: imposta l'ordine degli allegati dei playbook per l'avviso. Viene collegato automaticamente un solo playbook, in base alla priorità.
- Ambienti: opzione di selezione multipla per ambienti e gruppi di ambienti.
- Menu
: fai clic su
Modifica
Modifica e seleziona i playbook o i blocchi richiesti prima di utilizzare Menu per eseguire azioni collettive: - Nuova cartella: aggiungi una nuova cartella di playbook; il playbook eredita automaticamente le modifiche apportate ai gruppi di ambienti associati. Puoi applicare i playbook associati ai gruppi di ambienti ai casi provenienti da qualsiasi ambiente all'interno di questi gruppi.
- Duplica: crea un playbook duplicato con queste opzioni:
- Mantenere o modificare la priorità
- Mantieni nella stessa cartella o sposta in un'altra cartella
- Singolo, multiplo o tutti gli ambienti, dove tutti indica tutti gli ambienti definiti, presenti o futuri.
- Esportazione e importazione: trasferisci guide pratiche e blocchi di guide pratiche tra server di staging e di produzione. I playbook vengono esportati o importati con le visualizzazioni personalizzate incluse. Il sistema accetta solo file ZIP per l'importazione.
- Sposta in: sposta i playbook e i blocchi in una cartella diversa o crea una nuova cartella.
- Elimina: elimina i playbook e i blocchi. Dopo aver fatto clic su Modifica, puoi eliminare i playbook.
Sezione superiore del Designer di playbook
La sezione superiore del Designer di playbook fornisce una panoramica completa e i controlli essenziali per il tuo playbook. Troverai le seguenti funzionalità:
- Pulsante orizzontale per attivare o disattivare il playbook, offrendo un'attivazione o una disattivazione rapida.
- Riepilogo conciso con il nome, il creator, il timestamp di creazione e l'ambiente associato del playbook, oltre a una breve descrizione.
- Attiva il simulatore per i test e per aggiungere una visualizzazione personalizzata per una maggiore visibilità.
Utilizzando le funzionalità di Playbook Designer, puoi eseguire le seguenti azioni:
| Icona | Descrizione |
|---|---|
 Apri selezione passaggi |
Apre un riquadro laterale con Attivatori, Azioni, Flusso e Blocchi disponibili. |
 Adatta allo schermo |
Regola automaticamente il playbook in modo che si adatti completamente allo schermo. |
 Riordina |
Ripristina la disposizione predefinita del playbook. |
 Zoom |
Aumenta lo zoom su uno o più passaggi del playbook. |
 Scarica |
Scarica il playbook come file PNG. |
 Annulla |
Annulla le modifiche apportate. |
 Ripeti |
Ripristina le modifiche annullate in precedenza. |
 Monitoraggio playbook |
Mostra le statistiche del singolo playbook. |
 Playbook navigator |
Mostra tutte le azioni e i flussi del playbook. |
Per ulteriori informazioni sulla pagina Guide pratiche e su come collaborare, consulta quanto segue:
- Definire viste di avvisi personalizzate dal Designer di playbook
- Utilizzare il simulatore di playbook
- Informazioni sul monitoraggio del playbook
- Utilizzare il navigatore playbook
Legenda delle icone del playbook
Quando viene allegato un playbook, nella scheda Richieste > Playbook vengono visualizzate le seguenti icone.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.