Esplorare i casi d'uso di base nei playbook

Supportato in:

Questo documento descrive alcuni casi d'uso di base che puoi automatizzare nei playbook.

Inviare email all'interno di un playbook

Puoi incorporare la corrispondenza email interattiva nei playbook. Utilizzando le azioni email integrate, puoi inviare email in uscita dalla piattaforma Google SecOps e monitorare, importare e registrare automaticamente le risposte degli utenti direttamente nel caso, assicurandoti che tutte le comunicazioni e input utente vengano registrati per l'ulteriore elaborazione del playbook.

Prima di iniziare

Prima di iniziare, devi attivare le funzionalità email, il che richiede l'installazione di una di queste integrazioni:

Invia un'email

Per inviare un'email e registrare la relativa risposta in Google SecOps, segui questi passaggi:

  1. Seleziona l'azione Invia email per inviare un'email.
  2. Aggiungi l'azione Attendi email dall'utente per eseguire periodicamente query sulla casella di posta per una risposta. Questa azione identifica la corrispondenza utilizzando un ID univoco.

Una volta ricevuta la risposta, viene recuperata nella piattaforma.

La risposta può essere visualizzata nella bacheca della richiesta e utilizzata come input per altre azioni nel playbook.

Scansionare più URL in VirusTotal

L'azione URL di scansione VirusTotal esegue l'iterazione sulle entità dell'ambito selezionato e avvia una richiesta a VirusTotal per ogni entità di tipo URL. Al termine, l'azione arricchisce le entità URL con un report di VirusTotal e pubblica il risultato nella bacheca della richiesta. Viene esposto un valore is_risky in modo che tu possa aggiungere ulteriori condizioni al playbook per gli URL ad alto rischio. Per informazioni dettagliate su come utilizzare l'azione Scansione hash per analizzare gli hash dei file con VirusTotal, contrassegnare le entità come sospette e mostrare approfondimenti, vedi l'azione Scansione hash per VirusTotal.

Scansionare gli URL ricevuti via email

Puoi creare un flusso di lavoro di automazione della sicurezza che estrae ed esegue la scansione degli URL dalle email in entrata per rilevare link di phishing o dannosi. Questo processo garantisce che tutti i link pericolosi vengano neutralizzati prima che rappresentino un rischio, consentendo al playbook di intraprendere un'azione immediata, ad esempio bloccare l'URL o mettere in quarantena l'email.

Prima di iniziare

Nel tuo ambiente deve essere installata e configurata la seguente integrazione:

  • Integrazione email: Microsoft Graph Mail o Gmail (per leggere ed estrarre dati dall'email/avviso).
  • Integrazione della reputazione: VirusTotal o uno strumento di analisi degli URL simile.

Per eseguire la scansione degli URL ricevuti via email, devi configurare un connettore che monitori una casella di posta (con le integrazioni Email o Exchange).

Crea la logica di scansione nel playbook

Per creare la logica di scansione nel playbook:

  1. Utilizza l'azione dell'integrazione email (ad esempio Gmail_Enrich Email) per ottenere il corpo completo dell'email o i dati dell'evento. Utilizza lo strumento di creazione delle espressioni per analizzare l'email ed estrarre gli URL specifici che vuoi scansionare. Per maggiori dettagli, vedi Utilizzare il generatore di espressioni.
    Quando le email iniziano ad arrivare in Google Security Operations SOAR, il loro contenuto può essere analizzato dalla funzionalità di mappatura o estratto dall'azione del playbook Crea entità (se i playbook sono allegati alle email in arrivo).
  2. Aggiungi l'azione selezionata (ad esempio, URL VirusTotal_Scan) e utilizza un segnaposto per inserire l'URL estratto dal passaggio precedente.
  3. Aggiungi un flusso di condizioni immediatamente dopo l'azione di scansione. Per maggiori dettagli, vedi Utilizzare i flussi nei playbook.
  4. Configura i rami della condizione per valutare il risultato JSON della scansione della reputazione:
    • Branch 1 (Malicious): se Scan Result viene segnalato come dannoso (ad esempio, punteggio > 5 o motore specifico che ha rilevato una minaccia).
    • Branch 2 (Clean/Unknown): se Scan Result è pulito o se la condizione non riesce a trovare indicatori dannosi.

Una volta estratti tutti gli URL, puoi utilizzarli nelle azioni manuali e nei playbook.

Inviare messaggi a un numero di telefono

Per inviare messaggi a un numero di telefono, devi aver installato l'integrazione Twilio e avere un account attivo con Twilio.

Una volta configurate in Content Hub, le azioni Twilio ti consentono di inviare messaggi SMS e persino di creare playbook in base a una risposta SMS.

Inserisci gli elementi dei dati della richiesta in un'email

I segnaposto sono espressioni dinamiche utilizzate nelle azioni del playbook per inserire dati specifici del caso, attributi dell'entità o dettagli dell'avviso nei campi di testo (ad esempio un messaggio email). In fase di runtime, il segnaposto viene sostituito dai dati effettivi estratti dalla piattaforma Google Security Operations.

Struttura del segnaposto

Un segnaposto inizia e termina sempre con parentesi quadre [ ], che contengono il percorso dati specifico (ad esempio, [Alert.Name] fa riferimento al nome dell'avviso).

I seguenti segnaposto non verranno visualizzati per nessuna operazione automatica:

  • General.CurrentUserEmail
  • General.CurrentUserID
  • General.CurrentUserFullName
  • General.CurrentUserRole

Utilizzare un segnaposto

Per utilizzare un segnaposto:

  1. Fai clic su data_array segnaposto accanto a un campo di testo (ad esempio, il campo del messaggio in un'azione Invia email).
  2. Seleziona il percorso dei contenuti preferito per inserire il segnaposto (ad esempio, [Alert.Name]).

Puoi combinare più segnaposto con testo statico per creare contenuti personalizzati e avanzati.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.