Playbook-Monitoring

Unterstützt in:

In diesem Dokument werden die wichtigsten Bereiche in der Google Security Operations-Plattform beschrieben, in denen Sie detaillierte Informationen zur Ausführung und Leistung Ihrer Playbooks finden:

  • Playbook-Monitoring auf der Seite Playbooks: Mit der Monitoring-Funktion können Kunden die Automatisierung optimal nutzen. Diese Oberfläche wird für jedes einzelne Playbook angezeigt.
  • Seitenleiste für Playbooks auf der Seite Fälle: Die Zusammenfassungsfunktion minimiert die Zeit, die ein Analyst benötigt, um Entscheidungen bei der Bearbeitung eines Falls zu treffen. Diese Benutzeroberfläche wird für jedes aktive Playbook auf der Seite Vorgänge als Seitenleiste angezeigt.

Diese Transparenz ist unerlässlich für die Überprüfung, die Fehlerbehebung und die Bestätigung des erfolgreichen Workflow-Abschlusses.

Auf die Playbook-Überwachung zugreifen

Die Seitenleiste Playbook-Monitoring ist für jedes Playbook auf der Seite Playbooks verfügbar. 

Klicken Sie auf der Seite Playbooks auf Playbook-Monitoring, um die Seitenleiste für das ausgewählte Playbook zu öffnen.

Die Seitenleiste Playbook-Monitoring enthält die folgenden Informationen:

  • Ausführungen: Gibt an, wie oft das Playbook oder der Playbook-Block im definierten Zeitraum ausgeführt wurde. Tausende werden mit einem K und Millionen mit einem M dargestellt. Wenn ein Playbook-Block im Rahmen eines Playbooks zu einer vorhandenen Benachrichtigung hinzugefügt wird, wird der Block nicht gezählt.
  • Redundant: Die Anzahl der fehlgeschlagenen Ausführungen des Playbooks oder Playbook-Blocks, weil das Limit von einem automatisch hinzugefügten Playbook pro Benachrichtigung überschritten wurde. Wenn der Wert größer als 1 ist, sollten Sie das Playbook mit logischen Blöcken oder anderen Schritten überarbeiten, um Ausführungslimits zu verwalten.
  • Geschlossene Benachrichtigungen: Prozentsatz der Benachrichtigungen, die von diesem Playbook geschlossen wurden.
  • Durchschnittliche Laufzeit: Die durchschnittliche Zeit, die für die Ausführung dieses Playbooks benötigt wurde. Diese Statistik kann hilfreich sein, um Schwachstellen in Playbooks zu identifizieren, z. B. manuelle Aktionen und Schritte, bei denen häufig Fehler auftreten.
  • Kreisdiagramm zum Status von Playbook-Ausführungen: Dieses Diagramm bietet eine kumulative Ansicht der Playbook-Status über einen bestimmten Zeitraum hinweg mit vier möglichen Ergebnissen: Erfolgreich abgeschlossen, Fehlgeschlagen, Wartet auf Nutzeraktion oder Beendet. Klicken Sie auf einen beliebigen Abschnitt des Diagramms, um die Suchergebnisseite mit Fällen aufzurufen, für die Playbooks mit diesem Status vorhanden sind.
  • Liniendiagramm zu Playbook-Trends: In diesem Liniendiagramm wird die Leistung Ihrer Playbooks anhand der abgeschlossenen, fehlgeschlagenen, beendeten und Gesamtausführungen dargestellt. Damit können Sie die Leistung neuer Playbooks bewerten oder die Auswirkungen von kürzlich vorgenommenen Verbesserungen an bestehenden Playbooks überprüfen. Bewegen Sie den Mauszeiger auf einen beliebigen Punkt auf der Linie, um detaillierte Messwerte aufzurufen. Wenn ein Playbook beispielsweise im letzten Monat nur 20-mal ausgeführt wurde, sollten Sie die Triggerlogik so anpassen, dass sie selektiver ist. Anschließend können Sie im Diagramm Playbook-Trends prüfen, ob sich die Erfolgsrate des Playbooks nach Ihren Änderungen verbessert hat.
  • Balkendiagramm für Umgebungen: Hier werden alle Umgebungen angezeigt, in denen dieses Playbook ausgeführt wurde. Klicken Sie auf die einzelnen Abschnitte, um zur Suchergebnisseite zurückzukehren.

Auf die Playbook-Zusammenfassung zugreifen

So greifen Sie auf die Playbook-Zusammenfassung zu:

  1. Wählen Sie auf der Seite Fälle einen Fall und dann eine Benachrichtigung aus und klicken Sie auf den Tab Playbooks.
  2. Klicken Sie links auf den als Hyperlink formatierten Namen des Playbooks. Die Seitenleiste mit der Playbook-Zusammenfassung wird geöffnet. Dort werden die folgenden Informationen angezeigt:
    • Playbook-Name und ‑Status
    • Zeit und Dauer der Playbook-Ausführung
    • Ausstehende Aktionen: Wenn ein Playbook auf eine Aktion eines Sicherheitsexperten wartet, wird oben in der Playbook-Zusammenfassung eine gut sichtbare Benachrichtigung angezeigt und eine Push-Benachrichtigung an den entsprechenden Nutzer gesendet.
    • Integrationen: Auf der Plattform wird eine Liste aller Integrationen angezeigt, die vom Playbook verwendet werden. Wenn Sie auf eine Integration klicken, wird der entsprechende Schritt in der Playbook-Ansicht hervorgehoben, sodass sich der Analyst sofort auf diesen Abschnitt konzentrieren kann.
    • Playbook-Ablauf: Eine detaillierte Ansicht der einzelnen ausgeführten Schritte mit Status und Schritt-Ergebnis.
    • Fehler: Eine Liste aller aufgetretenen Fehler. Fehler, die das Playbook anhalten, werden im Zusammenfassungsbanner hervorgehoben. Fehler, die übersprungen wurden oder nicht kritisch sind, werden unten angezeigt. Wenn Sie auf einen Fehler klicken, wird die Seite „Logs“ aufgerufen. Dort können Sie die fehlgeschlagene Aktion oder das gesamte Playbook noch einmal ausführen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten