Confira casos de uso básicos em playbooks

Compatível com:

Este documento discute alguns casos de uso básicos que podem ser automatizados nos seus playbooks.

Enviar e-mails em um playbook

Você pode incorporar correspondências de e-mail interativas aos seus playbooks. Com as ações de e-mail integradas, é possível enviar e-mails da plataforma Google SecOps e rastrear, ingerir e registrar automaticamente as respostas dos usuários diretamente no caso. Assim, toda a comunicação e as entradas do usuário são registradas para processamento posterior do playbook.

Antes de começar

Antes de começar, ative os recursos de e-mail. Para isso, instale uma destas integrações:

Send an email

Para enviar um e-mail e registrar a resposta no Google SecOps, siga estas etapas:

  1. Selecione a ação Enviar e-mail.
  2. Adicione a ação Aguardar e-mail do usuário para consultar periodicamente a caixa de correio em busca de uma resposta. Essa ação identifica a correspondência usando um ID exclusivo.

Depois que a resposta é recebida, ela é buscada na plataforma.

A resposta pode ser vista no mural do caso e usada como entrada para outras ações no playbook.

Verificar vários URLs no VirusTotal

A ação Verificação de URL do VirusTotal itera pelas entidades de escopo selecionadas e inicia uma solicitação ao VirusTotal para cada entidade do tipo URL. Quando concluída, a ação enriquece as entidades de URL com um relatório do VirusTotal e também publica o resultado no mural do caso. Um valor is_risky é exposto para que você possa adicionar mais condições ao playbook para URLs de alto risco. Para detalhes sobre como usar a ação Verificar hash para verificar hashes de arquivos com o VirusTotal, marcar entidades como suspeitas e mostrar insights, consulte a ação Verificar hash do VirusTotal.

Verificar URLs recebidos por e-mail

É possível criar um fluxo de trabalho de automação de segurança que extrai e verifica URLs de e-mails recebidos para detectar phishing ou links maliciosos. Esse processo garante que os links perigosos sejam neutralizados antes de representarem um risco, permitindo que o playbook tome medidas imediatas, como bloquear o URL ou colocar o e-mail em quarentena.

Antes de começar

Você precisa ter a seguinte integração instalada e configurada no seu ambiente:

  • Integração de e-mail: Microsoft Graph Mail ou Gmail (para ler e extrair dados do e-mail/alerta).
  • Integração de reputação: VirusTotal ou uma ferramenta de análise de URL semelhante.

Para verificar URLs recebidos por e-mail, configure um conector que monitore uma caixa de e-mail (com as integrações E-mail ou Exchange).

Criar a lógica de verificação no playbook

Siga estas etapas para criar a lógica de verificação no seu playbook:

  1. Use a ação da integração de e-mail (por exemplo, Gmail_Enrich Email) para acessar o corpo completo do e-mail ou os dados do evento. Use o criador de expressões para analisar o e-mail e extrair os URLs específicos que você quer verificar. Para mais detalhes, consulte Usar o criador de expressões.
    Quando os e-mails começam a chegar ao SOAR do Google Security Operations, o conteúdo deles pode ser analisado pelo recurso de mapeamento ou extraído pela ação do playbook Criar entidade (se os playbooks estiverem anexados aos e-mails recebidos).
  2. Adicione a ação selecionada (por exemplo, URL VirusTotal_Scan) e use um marcador de posição para inserir o URL extraído da etapa anterior.
  3. Adicione um fluxo de condição imediatamente após a ação de verificação. Para mais detalhes, consulte Usar fluxos em playbooks.
  4. Configure as ramificações da condição para avaliar o resultado JSON da verificação de reputação:
    • Ramificação 1 (maliciosa): se Scan Result for denunciado como malicioso (por exemplo, pontuação > 5 ou um mecanismo específico encontrou uma ameaça).
    • Ramificação 2 (limpa/desconhecida): se Scan Result estiver limpo ou se a condição não encontrar indicadores maliciosos.

Depois que todos os URLs forem extraídos, você poderá usá-los em ações manuais e playbooks.

Enviar mensagens para um número de telefone

Para enviar mensagens a um número de telefone, você precisa ter a integração do Twilio instalada e uma conta ativa com o Twilio.

Depois de configuradas no Content Hub, as ações do Twilio permitem enviar mensagens SMS e até mesmo ramificar playbooks de acordo com uma resposta por SMS.

Colocar elementos dos dados do caso em um e-mail

Os marcadores de posição são expressões dinâmicas usadas em ações de playbook para inserir dados específicos de casos, atributos de entidades ou detalhes de alertas em campos de texto (como uma mensagem de e-mail). Em tempo de execução, o marcador de posição é substituído pelos dados reais extraídos da plataforma do Google Security Operations.

Estrutura do marcador de posição

Um marcador de posição sempre começa e termina com colchetes [ ], que contêm o caminho de dados específico. Por exemplo, [Alert.Name] faz referência ao nome do alerta.

Os seguintes marcadores de posição não serão renderizados em nenhuma operação automática:

  • General.CurrentUserEmail
  • General.CurrentUserID
  • General.CurrentUserFullName
  • General.CurrentUserRole

Usar um marcador de posição

Para usar um marcador de posição, siga estas etapas:

  1. Clique no marcador de posição data_array ao lado de um campo de texto (por exemplo, o campo de mensagem em uma ação de Enviar e-mail).
  2. Selecione o caminho de conteúdo preferido para inserir o marcador de posição (por exemplo, [Alert.Name]).

É possível combinar vários marcadores de posição com texto estático para criar conteúdo avançado e personalizado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.