Explorer les cas d'utilisation de base dans les playbooks

Ce document présente quelques cas d'utilisation de base que vous pouvez automatiser dans vos playbooks.

Envoyer des e-mails dans un playbook

Vous pouvez intégrer des échanges d'e-mails interactifs dans vos playbooks. Grâce aux actions d'e-mail intégrées, vous pouvez envoyer des e-mails sortants depuis la plate-forme Google SecOps et suivre, ingérer et enregistrer automatiquement les réponses des utilisateurs directement dans la fiche, en veillant à ce que toutes les communications et les saisies des utilisateurs soient enregistrées pour le traitement ultérieur du playbook.

Avant de commencer

Avant de commencer, vous devez activer les fonctionnalités d'e-mail. Pour cela, vous devez installer l'une des intégrations suivantes :

• Microsoft Graph Mail : à utiliser pour Exchange Online.
• Gmail : à utiliser pour les comptes Gmail.

Envoyer un e-mail

Pour envoyer un e-mail et enregistrer sa réponse dans Google SecOps, procédez comme suit :

1. Sélectionnez l'action Envoyer un e-mail pour envoyer un e-mail.
2. Ajoutez l'action Attendre un e-mail de l'utilisateur pour interroger régulièrement la boîte aux lettres afin d'obtenir une réponse. Cette action identifie la correspondance à l'aide d'un ID unique.

Une fois la réponse reçue, elle est récupérée sur la plate-forme.

La réponse est visible sur le mur de la demande et peut être utilisée comme entrée pour d'autres actions dans le playbook.

Analyser plusieurs URL dans VirusTotal

L'action Analyser l'URL VirusTotal itère sur les entités de portée sélectionnées et lance une requête à VirusTotal pour chaque entité de type URL. Une fois l'action terminée, elle enrichit les entités URL avec un rapport VirusTotal et publie également le résultat sur le mur de la demande. Une valeur is_risky est exposée pour vous permettre d'ajouter d'autres conditions au playbook pour les URL à haut risque. Pour savoir comment utiliser l'action Analyser le hachage afin d'analyser les hachages de fichiers avec VirusTotal, marquer les entités comme suspectes et afficher des insights, consultez l'action Analyser le hachage pour VirusTotal.

Analyser les URL reçues par e-mail

Vous pouvez créer un workflow d'automatisation de la sécurité qui extrait et analyse les URL des e-mails entrants pour détecter les liens d'hameçonnage ou malveillants. Ce processus garantit que tous les liens dangereux sont neutralisés avant de présenter un risque, ce qui permet à votre playbook de prendre des mesures immédiates, comme bloquer l'URL ou mettre l'e-mail en quarantaine.

Avant de commencer

Vous devez avoir installé et configuré l'intégration suivante dans votre environnement :

• Intégration de la messagerie : Microsoft Graph Mail ou Gmail (pour lire et extraire des données de l'e-mail/de l'alerte).
• Intégration de la réputation : VirusTotal ou un outil d'analyse d'URL similaire.

Pour analyser les URL reçues par e-mail, vous devez configurer un connecteur qui surveille une boîte aux lettres (avec les intégrations E-mail ou Exchange).

Créer la logique d'analyse dans votre playbook

Pour créer la logique d'analyse dans votre playbook, procédez comme suit :

1. Utilisez l'action de l'intégration d'e-mails (par exemple, Gmail_Enrich Email) pour obtenir le corps complet de l'e-mail ou les données de l'événement. Utilisez le générateur d'expressions pour analyser l'e-mail et extraire les URL spécifiques que vous souhaitez analyser. Pour en savoir plus, consultez Utiliser le générateur d'expressions.
   Lorsque des e-mails commencent à arriver dans Google Security Operations SOAR, leur contenu peut être analysé par la fonctionnalité de mappage ou extrait par l'action de playbook Créer une entité (si des playbooks sont associés aux e-mails entrants).
2. Ajoutez l'action sélectionnée (par exemple, l'URL VirusTotal_Scan) et utilisez un espace réservé pour saisir l'URL extraite à l'étape précédente.
3. Ajoutez un flux de condition immédiatement après l'action d'analyse. Pour en savoir plus, consultez Utiliser des flux dans les playbooks.
4. Configurez les branches de la condition pour évaluer le résultat JSON de l'analyse de la réputation :
• Branche 1 (malveillante) : si Scan Result est signalé comme malveillant (par exemple, score > 5 ou moteur spécifique ayant détecté une menace).
• Branche 2 (Propre/Inconnu) : si Scan Result est propre ou si la condition ne parvient pas à trouver d'indicateurs malveillants.

Une fois toutes les URL extraites, vous pouvez les utiliser dans des actions manuelles et dans des playbooks.

Envoyer des messages à un numéro de téléphone

Placer des éléments des données de la demande dans un e-mail

Les espaces réservés sont des expressions dynamiques utilisées dans les actions de playbook pour insérer des données spécifiques sur les demandes, des attributs d'entité ou des détails sur les alertes dans les champs de texte (comme un message électronique). Lors de l'exécution, l'espace réservé est remplacé par les données réelles extraites de la plate-forme Google Security Operations.

Structure des espaces réservés

Un espace réservé commence et se termine toujours par des crochets [ ], qui contiennent le chemin d'accès aux données spécifiques (par exemple, [Alert.Name] fait référence au nom de l'alerte).

Les espaces réservés suivants ne s'afficheront pour aucune opération automatique :

• General.CurrentUserEmail
• General.CurrentUserID
• General.CurrentUserFullName
• General.CurrentUserRole

Utiliser un espace réservé

Pour utiliser un espace réservé, procédez comme suit :

1. Cliquez sur l'espace réservé data_array à côté d'un champ de texte (par exemple, le champ de message dans une action Envoyer un e-mail).
2. Sélectionnez le chemin d'accès au contenu de votre choix pour insérer le code de substitution (par exemple, [Alert.Name]).

Vous pouvez combiner plusieurs espaces réservés avec du texte statique pour créer des contenus riches et personnalisés.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.