探索應對手冊的基本用途

本文將討論您可在應變手冊中自動執行的基本用途。

在應對手冊中傳送電子郵件

您可以在應對手冊中加入互動式電子郵件通訊。您可以使用內建的電子郵件動作，從 Google SecOps 平台傳送外寄電子郵件，並直接在案件中自動追蹤、擷取及記錄使用者回覆，確保所有通訊內容和使用者輸入內容都會記錄下來，以供後續劇本處理。

事前準備

開始之前，請先啟用電子郵件功能，這需要安裝下列其中一個整合服務：

• Microsoft Graph Mail：適用於 Exchange Online。
• Gmail：適用於 Gmail 帳戶。

傳送電子郵件

如要傳送電子郵件並在 Google SecOps 中記錄回覆，請按照下列步驟操作：

1. 選取「傳送郵件」動作，即可傳送電子郵件。
2. 新增「Wait For Mail From User」(等待使用者來信) 動作，定期查詢信箱中的回覆。這項動作會使用專屬 ID 識別對應項目。

收到回覆後，系統會將回覆擷取到平台。

您可以在案件牆上查看回覆，並將回覆做為應對手冊中其他動作的輸入內容。

在 VirusTotal 中掃描多個網址

「VirusTotal 掃描網址」動作會逐一檢查所選範圍的實體，並針對每個網址類型的實體向 VirusTotal 發出要求。完成後，這項動作會使用 VirusTotal 報表擴充網址實體，並將結果發布到案件牆。系統會公開 is_risky 值，方便您為高風險網址在劇本中新增其他條件。如要瞭解如何使用「掃描雜湊」動作，透過 VirusTotal 掃描檔案雜湊、將實體標示為可疑，以及顯示深入分析資訊，請參閱 VirusTotal 的「掃描雜湊」動作。

掃描透過電子郵件收到的網址

您可以建立安全自動化工作流程，從收到的電子郵件中擷取並掃描網址，偵測網路釣魚或惡意連結。這個程序可確保危險連結在造成風險前遭到停用，讓劇本立即採取行動，例如封鎖網址或隔離電子郵件。

事前準備

您必須在環境中安裝及設定下列整合：

• 電子郵件整合：Microsoft Graph Mail 或 Gmail (從電子郵件/快訊讀取及擷取資料)。
• 信譽整合：VirusTotal 或類似的網址分析工具。

如要掃描透過電子郵件收到的網址，請設定監控電子郵件信箱的連接器 (使用「電子郵件」或「Exchange」整合服務)。

在應對手冊中建構掃描邏輯

請按照下列步驟，在劇本中建立掃描邏輯：

1. 使用電子郵件整合的動作 (例如 Gmail_Enrich Email) 取得完整電子郵件內容或活動資料。使用運算式產生器剖析電子郵件，並擷取要掃描的特定網址。詳情請參閱「使用運算式產生器」。
   當電子郵件開始傳送至 Google Security Operations SOAR 時，系統會透過對應功能剖析電子郵件內容，或透過「建立實體」應對手冊動作 (如果應對手冊已附加至來信) 擷取內容。
2. 新增所選動作 (例如 VirusTotal_Scan URL)，並使用預留位置輸入上一步擷取的網址。
3. 在掃描動作後立即新增「條件」流程。詳情請參閱「在劇本中使用流程」。
4. 設定條件的分支，評估信譽掃描的 JSON 結果：
• 分支 1 (惡意)：如果 Scan Result 遭檢舉為惡意 (例如分數 > 5，或特定引擎發現威脅)。
• 分支 2 (乾淨/不明)：如果 Scan Result 乾淨，或條件無法找到惡意指標。

擷取所有網址後，即可在手動動作和應對手冊中使用。

傳送訊息至電話號碼

將案件資料元素放入電子郵件中

預留位置是劇本動作中使用的動態運算式，可將特定案件資料、實體屬性或快訊詳細資料插入文字欄位 (例如電子郵件訊息)。在執行階段，系統會將預留位置替換為從 Google Security Operations 平台擷取的實際資料。

預留位置結構

預留位置一律以方括號 [] 開頭和結尾，其中包含特定資料路徑 (例如 [Alert.Name] 會參照快訊名稱)。

系統不會為任何自動作業顯示下列預留位置：

• General.CurrentUserEmail
• General.CurrentUserID
• General.CurrentUserFullName
• General.CurrentUserRole

使用預留位置

如要使用預留位置，請按照下列步驟操作：

1. 按一下文字欄位旁的「data_array」 預留位置 (例如「傳送電子郵件」動作中的訊息欄位)。
2. 選取要插入預留位置的偏好內容路徑 (例如 [Alert.Name])。

您可以將多個預留位置與靜態文字合併，建立豐富的自訂內容。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。