探索 playbook 中的基本使用场景

支持的平台:

本文档讨论了您可以在 playbook 中自动执行的一些基本用例。

在 playbook 中发送电子邮件

您可以将互动式电子邮件通信纳入 playbook 中。借助内置的电子邮件操作,您可以从 Google SecOps 平台发送出站电子邮件,并自动跟踪、注入和记录用户直接对支持请求做出的响应,确保所有通信和用户输入内容都记录在案,以便进一步处理 playbook。

准备工作

在开始之前,您需要启用电子邮件功能,这需要您安装以下集成之一:

发送电子邮件

如需发送电子邮件并在 Google SecOps 中记录其响应,请按以下步骤操作:

  1. 选择发送邮件操作以发送电子邮件。
  2. 添加等待用户发送的邮件操作,以定期查询邮箱中是否有回复。此操作通过使用唯一 ID 来标识相应函件。

收到回答后,系统会将其提取到平台中。

您可以在支持请求墙上看到该响应,并将其用作 playbook 中其他操作的输入。

在 VirusTotal 中扫描多个网址

VirusTotal 扫描网址操作会遍历所选范围内的实体,并针对每个网址类型的实体向 VirusTotal 发出请求。完成后,该操作会使用 VirusTotal 报告丰富网址实体,并在支持请求墙上发布结果。 系统会公开 is_risky 值,以便您可以为高风险网址向 playbook 添加更多条件。如需详细了解如何使用 Scan Hash 操作通过 VirusTotal 扫描文件哈希值、将实体标记为可疑并显示数据洞见,请参阅 VirusTotal 的 Scan Hash 操作。

扫描通过电子邮件收到的网址

您可以构建一个安全自动化工作流,用于从入站电子邮件中提取网址并进行扫描,以检测钓鱼式攻击链接或恶意链接。此流程可确保在任何危险链接造成风险之前将其中和,从而让您的剧本立即采取行动,例如屏蔽相应网址或隔离相应电子邮件。

准备工作

您必须在环境中安装并配置以下集成:

  • 电子邮件集成:Microsoft Graph Mail 或 Gmail(用于读取和提取电子邮件/提醒中的数据)。
  • 信誉集成:VirusTotal 或类似的网址分析工具。

如需扫描通过电子邮件收到的网址,您需要配置一个监控邮箱的连接器(通过 EmailExchange 集成)。

在 playbook 中构建扫描逻辑

请按照以下步骤在 playbook 中构建扫描逻辑:

  1. 使用电子邮件集成的操作(例如 Gmail_Enrich Email)获取完整的电子邮件正文或活动数据。使用表达式构建工具解析电子邮件,并提取要扫描的特定网址。如需了解详情,请参阅使用表达式构建器
    当电子邮件开始进入 Google Security Operations SOAR 时,其内容可以通过映射功能进行解析,也可以通过 Create Entity playbook 操作(如果 playbook 附加到传入的电子邮件)进行提取。
  2. 添加您选择的操作(例如 VirusTotal_Scan 网址),并使用占位符输入上一步中提取的网址。
  3. 在扫描操作后立即添加“条件”流程。如需了解详情,请参阅使用 playbook 中的流程
  4. 配置条件的各个分支,以评估信誉扫描的 JSON 结果:
    • 分支 1(恶意):如果 Scan Result 被报告为恶意(例如,得分 > 5,或特定引擎发现威胁)。
    • 分支 2(干净/未知):如果 Scan Result 是干净的,或者条件未能找到恶意指标。

提取所有网址后,您可以在手动操作和 playbook 中使用这些网址。

向某个手机号码发送消息

如需向手机号码发送消息,您必须安装 Twilio 集成,并且拥有有效的 Twilio 账号。

在内容中心配置完成后,您可以使用 Twilio 操作发送短信,甚至可以根据短信回复分叉策略方案。

将支持请求数据中的元素放入电子邮件中

占位符是剧本操作中使用的动态表达式,用于将特定支持请求数据、实体属性或提醒详细信息插入到文本字段(例如电子邮件)中。在运行时,占位符会被从 Google Security Operations 平台提取的实际数据替换。

占位符结构

占位符始终以方括号 [ ] 开头和结尾,其中包含具体的数据路径(例如,[Alert.Name] 引用了提醒的名称)。

以下占位符不会针对任何自动化操作进行呈现:

  • General.CurrentUserEmail
  • General.CurrentUserID
  • General.CurrentUserFullName
  • General.CurrentUserRole

使用占位符

如需使用占位符,请按以下步骤操作:

  1. 点击文本字段(例如发送电子邮件操作中的消息字段)旁边的 data_array 占位符
  2. 选择要插入占位符的首选内容路径(例如 [Alert.Name])。

您可以将多个占位符与静态文本相结合,创建丰富多样的自定义内容。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。