Comprendre le suivi des playbooks

Ce document décrit les principaux emplacements de la plate-forme Google Security Operations qui offrent une visibilité détaillée sur l'exécution et les performances de vos playbooks :

• Surveillance des playbooks sur la page Playbooks : la fonctionnalité de surveillance permet aux clients d'exploiter pleinement l'automatisation. Cette interface s'affiche pour chaque playbook.
• Panneau latéral du playbook sur la page Demandes : la fonctionnalité de résumé permet de réduire le temps nécessaire à un analyste pour prendre des décisions lorsqu'il traite une demande. Cette interface s'affiche sous forme de panneau latéral pour chaque playbook en cours d'exécution sur la page Cas.

Cette visibilité est essentielle pour l'audit, le débogage des erreurs et la confirmation de la réussite du workflow.

Accéder à l'outil de contrôle des playbooks

Le panneau latéral Surveillance des playbooks est disponible pour chaque playbook sur la page Playbooks. 

Sur la page Playbooks, cliquez sur Surveillance des playbooks pour ouvrir le panneau latéral du playbook sélectionné.

Le panneau latéral Surveillance des playbooks contient les informations suivantes :

• Exécutions : nombre de fois que le playbook ou le bloc de playbook a été exécuté au cours de la période définie. Les milliers sont représentés par un K et les millions par un M. Si un bloc de playbook est ajouté à un playbook pour une alerte existante, il ne sera pas comptabilisé.
• Redondant : nombre de fois où le playbook ou le bloc de playbook n'ont pas pu s'exécuter, car ils ont dépassé la limite d'un playbook ajouté automatiquement par alerte. Si le nombre est supérieur à un, cela suggère que vous devez réviser le playbook en utilisant des blocs logiques ou d'autres étapes pour gérer les limites d'exécution.
• Alertes fermées : pourcentage d'alertes fermées par ce playbook.
• Durée d'exécution moyenne : durée moyenne d'exécution de ce playbook. Cette statistique peut être utile pour identifier les points faibles des playbooks, tels que les actions manuelles et les étapes qui génèrent fréquemment des erreurs.
• Graphique à secteurs sur l'état des exécutions de playbook : ce graphique présente une vue cumulative des états de playbook sur une période donnée, avec quatre résultats possibles : Terminé avec succès, Échec, En attente d'une action de l'utilisateur ou Terminé. Cliquez sur n'importe quelle section du graphique pour afficher la page de résultats de recherche listant les demandes avec des playbooks dans cet état spécifique.
• Graphique en courbes des tendances des playbooks : ce graphique en courbes suit les performances de vos playbooks en affichant les exécutions terminées, ayant échoué, interrompues et totales. Utilisez-le pour évaluer les performances des nouveaux playbooks ou pour vérifier l'impact des améliorations récentes apportées à ceux existants. Pointez sur n'importe quel point de la ligne pour afficher des métriques détaillées. Par exemple, si vous remarquez qu'un playbook n'a été exécuté que 20 fois le mois dernier, affinez sa logique de déclenchement pour le rendre plus sélectif. Vous pouvez ensuite consulter le graphique Tendances du playbook pour vérifier que le taux de réussite du playbook s'est amélioré après vos modifications.
• Graphique à barres "Environnements" : affiche tous les environnements dans lesquels ce playbook a été exécuté. Cliquez sur chaque section pour revenir à la page de résultats de recherche.

Accéder au résumé du playbook

Pour accéder au récapitulatif du playbook, procédez comme suit :

1. Sur la page Demandes, sélectionnez une demande, cliquez sur une alerte, puis sur l'onglet Playbooks.
2. Cliquez sur le nom du playbook (il apparaît sous la forme d'un lien hypertexte) à gauche. Le panneau latéral récapitulatif du playbook s'ouvre. Les informations suivantes s'affichent :
• Nom et état du playbook
• Heure et durée d'exécution du playbook
• Actions en attente : lorsqu'un playbook attend une action d'un ingénieur en sécurité, la plate-forme affiche une notification bien visible en haut du récapitulatif du playbook et envoie une notification push à l'utilisateur concerné.
• Intégrations : la plate-forme affiche la liste de toutes les intégrations utilisées par le playbook. Si vous cliquez sur une intégration, l'étape correspondante est mise en évidence dans le lecteur de playbook, ce qui permet à l'analyste de se concentrer immédiatement sur cette section.
• Flux du playbook : vue détaillée de chaque étape exécutée, avec son état et le résultat de l'étape.
• Erreurs : liste de toutes les erreurs rencontrées. Les erreurs qui interrompent le playbook sont mises en évidence dans la bannière récapitulative, tandis que celles qui ont été ignorées ou qui ne sont pas critiques apparaissent en bas. Pour en savoir plus, cliquez sur une erreur pour afficher la page des journaux. Vous pourrez également relancer l'action ayant échoué ou l'intégralité du playbook.