Mempelajari kasus penggunaan dasar dalam playbook

Didukung di:

Dokumen ini membahas beberapa kasus penggunaan dasar yang dapat Anda otomatiskan dalam playbook.

Mengirim email dalam playbook

Anda dapat menggabungkan korespondensi email interaktif ke dalam playbook. Dengan menggunakan tindakan email bawaan, Anda dapat mengirim email keluar dari platform Google SecOps dan secara otomatis melacak, menyerap, serta mencatat respons pengguna langsung ke kasus, sehingga memastikan bahwa semua komunikasi dan input pengguna dicatat untuk pemrosesan playbook lebih lanjut.

Sebelum memulai

Sebelum memulai, Anda harus mengaktifkan kemampuan email, yang mengharuskan Anda menginstal salah satu integrasi berikut:

Kirim email

Untuk mengirim email dan mencatat responsnya di Google SecOps, ikuti langkah-langkah berikut:

  1. Pilih tindakan Kirim Email untuk mengirim email.
  2. Tambahkan tindakan Wait For Mail From User untuk mengirim kueri ke kotak surat secara berkala untuk mendapatkan respons. Tindakan ini mengidentifikasi korespondensi dengan menggunakan ID unik.

Setelah respons diterima, respons tersebut akan diambil ke dalam platform.

Respons dapat dilihat di dinding kasus dan digunakan sebagai input untuk tindakan lain dalam playbook.

Memindai beberapa URL di VirusTotal

Tindakan URL Pemindaian VirusTotal melakukan iterasi pada entity cakupan yang dipilih, dan memulai permintaan ke VirusTotal untuk setiap entity berjenis URL. Setelah selesai, tindakan ini akan memperkaya entitas URL dengan laporan VirusTotal dan juga memposting hasilnya di dinding kasus. Nilai is_risky diekspos sehingga Anda dapat menambahkan kondisi lebih lanjut ke playbook untuk URL berisiko tinggi. Untuk mengetahui detail tentang cara menggunakan tindakan Pindai Hash untuk memindai hash file dengan VirusTotal, menandai entitas sebagai mencurigakan, dan menampilkan insight, lihat tindakan Pindai Hash untuk VirusTotal.

Memindai URL yang diterima melalui email

Anda dapat membuat alur kerja otomatisasi keamanan yang mengekstrak dan memindai URL dari email masuk untuk mendeteksi link phising atau berbahaya. Proses ini memastikan bahwa link berbahaya dinetralisir sebelum menimbulkan risiko, sehingga playbook Anda dapat segera mengambil tindakan, seperti memblokir URL atau mengarantina email.

Sebelum memulai

Anda harus menginstal dan mengonfigurasi integrasi berikut di lingkungan Anda:

  • Integrasi email: Microsoft Graph Mail atau Gmail (untuk membaca dan mengekstrak data dari email/pemberitahuan).
  • Integrasi reputasi: VirusTotal atau alat analisis URL serupa.

Untuk memindai URL yang diterima melalui email, Anda harus mengonfigurasi konektor yang memantau kotak email (dengan integrasi Email atau Exchange).

Buat logika pemindaian di playbook Anda

Gunakan langkah-langkah berikut untuk membuat logika pemindaian di playbook Anda:

  1. Gunakan tindakan integrasi email (misalnya, Gmail_Enrich Email) untuk mendapatkan isi email lengkap atau data acara. Gunakan Pembuat Ekspresi untuk mengurai email dan mengekstrak URL tertentu yang ingin Anda pindai. Untuk mengetahui detailnya, lihat Menggunakan Pembuat Ekspresi.
    Saat email mulai masuk ke SOAR Google Security Operations, kontennya dapat diuraikan oleh fitur pemetaan atau diekstrak oleh tindakan playbook Create Entity (jika playbook dilampirkan ke email yang masuk).
  2. Tambahkan tindakan yang Anda pilih (misalnya, URL VirusTotal_Scan) dan gunakan placeholder untuk memasukkan URL yang diekstrak dari langkah sebelumnya.
  3. Tambahkan alur Kondisi segera setelah tindakan pemindaian. Untuk mengetahui detailnya, lihat Menggunakan alur dalam playbook.
  4. Konfigurasi cabang kondisi untuk mengevaluasi Hasil JSON dari pemindaian reputasi:
    • Cabang 1 (Berbahaya): Jika Scan Result dilaporkan sebagai berbahaya (misalnya, skor > 5, atau mesin tertentu menemukan ancaman).
    • Cabang 2 (Bersih/Tidak Diketahui): Jika Scan Result bersih atau jika kondisi gagal menemukan indikator berbahaya.

Setelah semua URL diekstrak, Anda dapat menggunakannya dalam tindakan manual dan dalam playbook.

Mengirim pesan ke nomor telepon

Untuk mengirim pesan ke nomor telepon, Anda harus menginstal integrasi Twilio dan memiliki akun aktif di Twilio.

Setelah dikonfigurasi di Hub Konten, tindakan Twilio akan memungkinkan Anda mengirim pesan SMS dan bahkan membuat cabang playbook sesuai dengan respons SMS.

Memasukkan elemen data kasus ke dalam email

Placeholder adalah ekspresi dinamis yang digunakan dalam tindakan playbook untuk menyisipkan data kasus tertentu, atribut entity, atau detail pemberitahuan ke dalam kolom teks (seperti pesan email). Saat runtime, placeholder diganti dengan data sebenarnya yang diekstrak dari platform Google Security Operations.

Struktur placeholder

Placeholder selalu diawali dan diakhiri dengan tanda kurung siku [ ], yang berisi jalur data tertentu (misalnya, [Alert.Name] mereferensikan nama pemberitahuan).

Placeholder berikut tidak akan dirender untuk operasi otomatis apa pun:

  • General.CurrentUserEmail
  • General.CurrentUserID
  • General.CurrentUserFullName
  • General.CurrentUserRole

Menggunakan placeholder

Untuk menggunakan placeholder, ikuti langkah-langkah berikut:

  1. Klik data_array Placeholder di samping kolom teks (misalnya, kolom pesan dalam tindakan Kirim Email).
  2. Pilih jalur konten pilihan untuk menyisipkan placeholder (misalnya, [Alert.Name]).

Anda dapat menggabungkan beberapa placeholder dengan teks statis untuk membuat konten kustom yang kaya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.