ハンドブックの基本的なユースケースを確認する

以下でサポートされています。

このドキュメントでは、ハンドブック内で自動化できる基本的なユースケースについて説明します。

ハンドブック内でメールを送信する

インタラクティブなメールのやり取りをハンドブックに組み込むことができます。組み込みのメール アクションを使用すると、Google SecOps プラットフォームから送信メールを送信し、ユーザーの回答を自動的に追跡、取り込み、ケースに直接記録できます。これにより、すべての通信とユーザー入力が記録され、ハンドブックの処理に利用できます。

始める前に

始める前に、メール機能を有効にする必要があります。そのためには、次のいずれかの統合をインストールする必要があります。

メールを送信

メールを送信して、そのレスポンスを Google SecOps に記録する手順は次のとおりです。

  1. メールを送信するには、[メールを送信] アクションを選択します。
  2. [ユーザーからのメールを待機] アクションを追加して、メールボックスを定期的にクエリして応答を取得します。このアクションは、一意の ID を使用して対応を識別します。

回答が届くと、プラットフォームに取得されます。

レスポンスはケースウォールに表示され、ハンドブックの他のアクションの入力として使用できます。

VirusTotal で複数の URL をスキャンする

VirusTotal スキャン URL アクションは、選択したスコープ エンティティを反復処理し、URL タイプの各エンティティに対して VirusTotal へのリクエストを開始します。完了すると、アクションによって VirusTotal レポートで URL エンティティが拡充され、結果がケースのウォールに投稿されます。is_risky 値が公開されているため、リスクの高い URL のプレイブックに条件を追加できます。Scan Hash アクションを使用して VirusTotal でファイル ハッシュをスキャンし、エンティティを不審としてマークして分析情報を表示する方法については、VirusTotal の Scan Hash アクションをご覧ください。

メールで受信した URL をスキャンする

受信メールから URL を抽出してスキャンし、フィッシング リンクや悪意のあるリンクを検出するセキュリティ自動化ワークフローを構築できます。このプロセスにより、危険なリンクがリスクをもたらす前に無効化され、プレイブックで URL のブロックやメールの隔離などのアクションを直ちに実行できます。

始める前に

環境に次のインテグレーションがインストールされ、構成されている必要があります。

  • メール統合: Microsoft Graph Mail または Gmail(メール/アラートからデータを読み取って抽出するため)。
  • レピュテーションの統合: VirusTotal または同様の URL 分析ツール。

メールで受信した URL をスキャンするには、メールボックスをモニタリングするコネクタ(メールまたは Exchange 統合)を構成する必要があります。

Playbook でスキャン ロジックを構築する

次の手順に沿って、プレイブックにスキャン ロジックを構築します。

  1. メール統合のアクション(Gmail_Enrich Email など)を使用して、メールの本文全体またはイベントデータを取得します。Expression Builder を使用してメールを解析し、スキャンする特定の URL を抽出します。詳細については、式ビルダーを使用するをご覧ください。
    メールが Google Security Operations SOAR に届き始めると、そのコンテンツはマッピング機能で解析されるか、エンティティの作成ハンドブック アクションで抽出されます(ハンドブックが受信メールに添付されている場合)。
  2. 選択したアクション(VirusTotal_Scan URL など)を追加し、プレースホルダを使用して前の手順で抽出した URL を入力します。
  3. スキャン アクションの直後に条件フローを追加します。詳細については、ハンドブックでフローを使用するをご覧ください。
  4. 条件のブランチを構成して、レピュテーション スキャンからの JSON 結果を評価します。
    • ブランチ 1(悪意のあるファイル): Scan Result が悪意のあるファイルとして報告された場合(スコアが 5 より大きい場合や、特定のエンジンが脅威を検出した場合など)。
    • ブランチ 2(クリーン/不明): Scan Result がクリーンである場合、または条件で悪意のある指標が見つからなかった場合。

すべての URL が抽出されたら、手動アクションやハンドブックで使用できます。

電話番号にメッセージを送信する

電話番号にメッセージを送信するには、Twilio 統合がインストールされており、Twilio の有効なアカウントが必要です。

Content Hub で設定すると、Twilio アクションを使用して SMS メッセージを送信したり、SMS の返信に応じてプレイブックを分岐したりできます。

ケースデータの要素をメールに挿入する

プレースホルダは、プレイブック アクションで使用される動的式で、特定のケースデータ、エンティティ属性、アラートの詳細をテキスト フィールド(メール メッセージなど)に挿入するために使用されます。実行時に、プレースホルダは Google Security Operations プラットフォームから抽出された実際のデータに置き換えられます。

プレースホルダの構造

プレースホルダは常に角かっこ [ ] で始まり、角かっこで終わります。角かっこには、特定のデータパスが含まれます(たとえば、[Alert.Name] はアラートの名前を参照します)。

次のプレースホルダは、自動オペレーションではレンダリングされません。

  • General.CurrentUserEmail
  • General.CurrentUserID
  • General.CurrentUserFullName
  • General.CurrentUserRole

プレースホルダを使用する

プレースホルダを使用する手順は次のとおりです。

  1. テキスト フィールド(メール送信アクションのメッセージ フィールドなど)の横にある data_array プレースホルダをクリックします。
  2. プレースホルダを挿入するコンテンツパス([Alert.Name] など)を選択します。

複数のプレースホルダと静的テキストを組み合わせて、リッチなカスタム コンテンツを作成できます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。