Entender o monitoramento do playbook

Compatível com:

Este documento descreve os principais locais na plataforma do Google Security Operations que oferecem visibilidade detalhada da execução e do desempenho dos playbooks:

  • Monitoramento de playbooks na página Playbooks: o recurso de monitoramento permite que os clientes usem a automação em toda a capacidade. Essa interface é mostrada para cada playbook individual.
  • Gaveta lateral do playbook na página Casos: o recurso de resumo minimiza o tempo que um analista precisa para tomar decisões ao lidar com um caso. Essa interface é mostrada como um painel lateral para cada playbook em execução na página Casos.

Essa visibilidade é essencial para auditar, depurar erros e confirmar a conclusão bem-sucedida do fluxo de trabalho.

Acessar o monitor de playbook

O painel lateral Monitoramento de playbooks está disponível para cada playbook na página Playbooks

Na página Playbooks, clique em Monitoramento de playbook para abrir o painel lateral do playbook selecionado.

O painel lateral Monitoramento de playbook contém as seguintes informações:

  • Execuções: quantas vezes o playbook ou o bloco de playbook foi executado durante o período definido. Milhares serão representados por um K, e milhões serão representados por um M. Se um bloco de playbook for adicionado como parte de um playbook a um alerta existente, ele não será contabilizado.
  • Redundante: o número de vezes que o playbook ou o bloco de playbook não foi executado porque excedeu o limite de um playbook adicionado automaticamente por alerta. Uma contagem maior que um sugere que você revise o playbook usando blocos lógicos ou outras etapas para gerenciar os limites de execução.
  • Alertas fechados: porcentagem de alertas que foram fechados por este playbook.
  • Tempo médio de execução: o tempo médio que este playbook levou para ser executado. Essa estatística pode ser útil para identificar pontos fracos nos playbooks, como ações manuais e etapas com erros frequentes.
  • Gráfico de pizza de status das execuções de playbook: esse gráfico é uma visão cumulativa dos status do playbook em um período especificado, com quatro resultados possíveis: Concluído com êxito, Falha, Aguardando ação do usuário ou Encerrado. Clique em qualquer seção do gráfico para ver a página de resultados da pesquisa com casos com playbooks nesse status específico.
  • Gráfico de linhas de tendências do playbook: acompanha a performance dos seus playbooks mostrando as execuções concluídas, com falha, encerradas e totais. Use para avaliar a performance de novos playbooks ou verificar o impacto de melhorias recentes nos que já existem. Passe o cursor sobre qualquer ponto da linha para ver métricas detalhadas. Por exemplo, se você notar que um playbook foi executado apenas 20 vezes no mês passado, refine a lógica de acionamento para torná-lo mais seletivo. Em seguida, confira o gráfico Tendências do playbook para confirmar se a taxa de sucesso do playbook melhorou após as mudanças.
  • Gráfico de barras de ambientes: mostra todos os ambientes em que o playbook foi executado. Clique em cada seção para voltar à página de resultados da pesquisa.

Acessar o resumo do playbook

Para acessar o resumo do playbook, siga estas etapas:

  1. Na página Casos, selecione um caso, clique em um alerta e depois na guia Playbooks.
  2. Clique no nome do playbook com hiperlink à esquerda. O painel lateral de resumo do playbook é aberto. Isso mostra as seguintes informações:
    • Nome e status do playbook
    • Hora e duração da execução do playbook
    • Ações pendentes: quando um playbook aguarda uma ação de um engenheiro de segurança, a plataforma mostra uma notificação na parte superior do resumo do playbook e envia uma notificação push ao usuário relevante.
    • Integrações: a plataforma mostra uma lista de todas as integrações usadas pelo playbook. Ao clicar em uma integração, a etapa correspondente é destacada no visualizador do playbook, permitindo que o analista se concentre imediatamente nessa seção.
    • Fluxo do playbook: uma visualização detalhada de cada etapa executada, com o status e o resultado.
    • Erros: uma lista de todos os erros encontrados. Os erros que interrompem o playbook são destacados no banner de resumo, enquanto aqueles que foram ignorados ou não críticos aparecem na parte de baixo. Para mais detalhes, clique em qualquer erro para acessar a página de registros, onde também é possível executar novamente a ação com falha ou o playbook inteiro.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.