Grundlegende Anwendungsfälle in Playbooks

Unterstützt in:

In diesem Dokument werden einige grundlegende Anwendungsfälle beschrieben, die Sie in Ihren Playbooks automatisieren können.

E‑Mails in einem Playbook senden

Sie können interaktive E‑Mail-Korrespondenz in Ihre Playbooks einbinden. Mit den integrierten E‑Mail-Aktionen können Sie ausgehende E‑Mails über die Google SecOps-Plattform senden und Nutzerantworten automatisch verfolgen, erfassen und direkt im Fall protokollieren. So werden alle Mitteilungen und Nutzereingaben für die weitere Playbook-Verarbeitung aufgezeichnet.

Hinweise

Bevor Sie beginnen, müssen Sie E-Mail-Funktionen aktivieren. Dazu müssen Sie eine der folgenden Integrationen installieren:

E-Mail senden

So senden Sie eine E‑Mail und protokollieren die Antwort in Google SecOps:

  1. Wählen Sie die Aktion E‑Mail senden aus, um eine E‑Mail zu senden.
  2. Fügen Sie die Aktion Auf E-Mail von Nutzer warten hinzu, um das Postfach regelmäßig nach einer Antwort abzufragen. Bei dieser Aktion wird die Korrespondenz anhand einer eindeutigen ID identifiziert.

Sobald die Antwort eingegangen ist, wird sie auf die Plattform übertragen.

Die Antwort ist auf der Fallwand zu sehen und kann als Eingabe für andere Aktionen im Playbook verwendet werden.

Mehrere URLs in VirusTotal scannen

Bei der Aktion VirusTotal Scan URL werden die ausgewählten Bereichsentitäten durchlaufen und für jede Entität vom Typ „URL“ wird eine Anfrage an VirusTotal gesendet. Nach Abschluss der Aktion werden die URL-Entitäten mit einem VirusTotal-Bericht angereichert und das Ergebnis wird auch auf der Fallwand veröffentlicht. Ein is_risky-Wert wird bereitgestellt, damit Sie dem Playbook weitere Bedingungen für URLs mit hohem Risiko hinzufügen können. Weitere Informationen zur Verwendung der Aktion Scan Hash zum Scannen von Dateihashes mit VirusTotal, zum Markieren von Entitäten als verdächtig und zum Anzeigen von Statistiken finden Sie unter Scan Hash für VirusTotal.

Per E‑Mail empfangene URLs scannen

Sie können einen Workflow für die Sicherheitsautomatisierung erstellen, der URLs aus eingehenden E-Mails extrahiert und scannt, um Phishing- oder schädliche Links zu erkennen. So werden gefährliche Links neutralisiert, bevor sie ein Risiko darstellen. Ihr Playbook kann dann sofort Maßnahmen ergreifen, z. B. die URL blockieren oder die E‑Mail unter Quarantäne stellen.

Hinweise

Die folgende Integration muss in Ihrer Umgebung installiert und konfiguriert sein:

  • E‑Mail-Integration: Microsoft Graph Mail oder Gmail (zum Lesen und Extrahieren von Daten aus der E‑Mail/Benachrichtigung).
  • Integration von Reputationsdaten: VirusTotal oder ein ähnliches URL-Analysetool.

Wenn Sie per E-Mail empfangene URLs scannen möchten, müssen Sie einen Connector konfigurieren, der ein Postfach überwacht (mit den Integrationen E-Mail oder Exchange).

Scanlogik in Ihrem Playbook erstellen

So erstellen Sie die Scanlogik in Ihrem Playbook:

  1. Verwenden Sie die Aktion der E‑Mail-Integration (z. B. Gmail_Enrich Email), um den vollständigen E‑Mail-Text oder Ereignisdaten abzurufen. Verwenden Sie den Ausdrucksgenerator, um die E‑Mail zu parsen und die spezifischen URLs zu extrahieren, die Sie scannen möchten. Weitere Informationen finden Sie unter Ausdrucks-Generator verwenden.
    Wenn E‑Mails in Google Security Operations SOAR eingehen, kann ihr Inhalt entweder durch die Zuordnungsfunktion geparst oder durch die Playbook-Aktion Create Entity (Entität erstellen) extrahiert werden, sofern Playbooks an die eingehenden E‑Mails angehängt sind.
  2. Fügen Sie die ausgewählte Aktion (z. B. VirusTotal_Scan-URL) hinzu und verwenden Sie einen Platzhalter, um die im vorherigen Schritt extrahierte URL einzugeben.
  3. Fügen Sie direkt nach der Scan-Aktion einen Bedingungsablauf hinzu. Weitere Informationen finden Sie unter Abläufe in Playbooks verwenden.
  4. Konfigurieren Sie die Zweige der Bedingung, um das JSON-Ergebnis des Reputationsscans auszuwerten:
    • Branch 1 (Bösartig): Wenn Scan Result als bösartig gemeldet wird (z. B. Score > 5 oder eine bestimmte Engine eine Bedrohung gefunden hat).
    • Branch 2 (Clean/Unknown): Wenn Scan Result sauber ist oder die Bedingung keine schädlichen Indikatoren findet.

Sobald alle URLs extrahiert wurden, können Sie sie in manuellen Aktionen und in Playbooks verwenden.

Nachrichten an eine Telefonnummer senden

Wenn Sie Nachrichten an eine Telefonnummer senden möchten, müssen Sie die Twilio-Integration installiert haben und ein aktives Konto bei Twilio besitzen.

Nach der Konfiguration im Content Hub können Sie mit Twilio-Aktionen SMS-Nachrichten senden und Playbooks sogar entsprechend einer SMS-Antwort verzweigen.

Elemente der Falldaten in eine E-Mail einfügen

Platzhalter sind dynamische Ausdrücke, die in Playbook-Aktionen verwendet werden, um bestimmte Falldaten, Attributwerte von Entitäten oder Benachrichtigungsdetails in Textfelder (z. B. eine E-Mail-Nachricht) einzufügen. Zur Laufzeit wird der Platzhalter durch die tatsächlichen Daten ersetzt, die aus der Google Security Operations-Plattform extrahiert werden.

Platzhalterstruktur

Ein Platzhalter beginnt und endet immer mit eckigen Klammern [ ], die den spezifischen Datenpfad enthalten (z. B. verweist [Alert.Name] auf den Namen der Benachrichtigung).

Die folgenden Platzhalter werden für keinen automatischen Vorgang gerendert:

  • General.CurrentUserEmail
  • General.CurrentUserID
  • General.CurrentUserFullName
  • General.CurrentUserRole

Platzhalter verwenden

So verwenden Sie einen Platzhalter:

  1. Klicken Sie neben einem Textfeld (z. B. dem Nachrichtenfeld in der Aktion E-Mail senden) auf data_array Platzhalter.
  2. Wählen Sie den gewünschten Inhaltspfad aus, um den Platzhalter einzufügen, z. B. [Alert.Name].

Sie können mehrere Platzhalter mit statischem Text kombinieren, um umfangreiche benutzerdefinierte Inhalte zu erstellen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten