Explora casos de uso básicos en los playbooks

En este documento, se analizan algunos casos de uso básicos que puedes automatizar en tus guías.

Envía correos electrónicos dentro de una guía

Puedes incorporar correspondencia interactiva por correo electrónico en tus guías. Con las acciones de correo electrónico integradas, puedes enviar correos electrónicos salientes desde la plataforma de Google SecOps y hacer un seguimiento, incorporar y registrar automáticamente las respuestas de los usuarios directamente en el caso, lo que garantiza que todas las comunicaciones y las entradas del usuario se registren para el procesamiento posterior de la guía.

Antes de comenzar

Antes de comenzar, deberás habilitar las funciones de correo electrónico, para lo cual deberás instalar una de estas integraciones:

• Microsoft Graph Mail: Se usa para Exchange Online.
• Gmail: Se usa para las cuentas de Gmail.

Send an email

Para enviar un correo electrónico y registrar su respuesta en Google SecOps, sigue estos pasos:

1. Selecciona la acción Send Mail para enviar un correo electrónico.
2. Agrega la acción Wait For Mail From User para consultar periódicamente el buzón de correo en busca de una respuesta. Esta acción identifica la correspondencia con un ID único.

Una vez que se recibe la respuesta, se recupera en la plataforma.

La respuesta se puede ver en el muro del caso y se puede usar como entrada para otras acciones en la guía.

Cómo analizar varias URLs en VirusTotal

La acción Escanear URL de VirusTotal itera sobre las entidades del alcance seleccionado y, luego, inicia una solicitud a VirusTotal para cada entidad de tipo URL. Cuando finaliza, la acción enriquece las entidades de URL con un informe de VirusTotal y también publica el resultado en el muro del caso. Se expone un valor de is_risky para que puedas agregar más condiciones al playbook para las URLs de alto riesgo. Para obtener detalles sobre cómo usar la acción Scan Hash para analizar hashes de archivos con VirusTotal, marcar entidades como sospechosas y mostrar estadísticas, consulta la acción Scan Hash para VirusTotal.

Analiza las URLs que se reciben por correo electrónico

Puedes crear un flujo de trabajo de automatización de seguridad que extraiga y analice las URLs de los correos electrónicos entrantes para detectar vínculos maliciosos o de phishing. Este proceso garantiza que se neutralicen los vínculos peligrosos antes de que representen un riesgo, lo que permite que tu guía tome medidas inmediatas, como bloquear la URL o poner en cuarentena el correo electrónico.

Antes de comenzar

Debes tener instalada y configurada la siguiente integración en tu entorno:

• Integración de correo electrónico: Microsoft Graph Mail o Gmail (para leer y extraer datos del correo electrónico o la alerta)
• Integración de reputación: VirusTotal o una herramienta de análisis de URLs similar

Para analizar las URLs que se reciben por correo electrónico, deberás configurar un conector que supervise un buzón de correo electrónico (con las integraciones de Email o Exchange).

Crea la lógica de análisis en tu guía

Sigue estos pasos para crear la lógica de análisis en tu guía:

1. Usa la acción de integración de correo electrónico (por ejemplo, Gmail_Enrich Email) para obtener el cuerpo completo del correo electrónico o los datos del evento. Usa el Creador de expresiones para analizar el correo electrónico y extraer las URLs específicas que deseas analizar. Para obtener más información, consulta Cómo usar el compilador de expresiones.
   Cuando los correos electrónicos comienzan a llegar a Google Security Operations SOAR, su contenido se puede analizar con la función de asignación o extraer con la acción de la guía Create Entity (si las guías están adjuntas a los correos electrónicos entrantes).
2. Agrega la acción seleccionada (por ejemplo, VirusTotal_Scan URL) y usa un marcador de posición para ingresar la URL extraída del paso anterior.
3. Agrega un flujo de condición inmediatamente después de la acción de análisis. Para obtener más información, consulta Usa flujos en las guías.
4. Configura las ramas de la condición para evaluar el resultado JSON del análisis de reputación:
• Rama 1 (maliciosa): Si se informa que Scan Result es maliciosa (por ejemplo, la puntuación es mayor que 5 o un motor específico encontró una amenaza)
• Rama 2 (Limpia/Desconocida): Si Scan Result está limpia o si la condición no encuentra indicadores maliciosos.

Una vez que se extraen todas las URLs, puedes usarlas en acciones manuales y en guías.

Envía mensajes a un número de teléfono

Coloca elementos de los datos del caso en un correo electrónico

Los marcadores de posición son expresiones dinámicas que se usan en las acciones de la guía para insertar datos de casos específicos, atributos de entidades o detalles de alertas en campos de texto (como un mensaje de correo electrónico). En el tiempo de ejecución, el marcador de posición se reemplaza por los datos reales extraídos de la plataforma de Google Security Operations.

Estructura del marcador de posición

Un marcador de posición siempre comienza y termina con corchetes [ ], que contienen la ruta de datos específica (por ejemplo, [Alert.Name] hace referencia al nombre de la alerta).

Los siguientes marcadores de posición no se renderizarán para ninguna operación automática:

• General.CurrentUserEmail
• General.CurrentUserID
• General.CurrentUserFullName
• General.CurrentUserRole

Cómo usar un marcador de posición

Para usar un marcador de posición, sigue estos pasos:

1. Haz clic en data_array Marcador de posición junto a un campo de texto (por ejemplo, el campo de mensaje en una acción de Enviar correo electrónico).
2. Selecciona la ruta de acceso al contenido preferida para insertar el marcador de posición (por ejemplo, [Alert.Name]).

Puedes combinar varios marcadores de posición con texto estático para crear contenido enriquecido y personalizado.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.