Aktionen in Playbooks verwalten

Unterstützt in:

Aktionen sind die nächste Gruppe von Komponenten, die Sie für ein Playbook definieren können. Jede Aktion wird im System einer Integration zugeordnet. Sie enthalten Aufgaben oder Aktionen, die vom Playbook ausgeführt werden sollen. Sie können beispielsweise einem Fall einen Analysten zuweisen oder bei einer externen Produktintegration (z. B. Trellix ePO) eine Aktion zum Aktualisieren des Trellix-Agents festlegen. Für jede Integration gibt es eine Liste mit untergeordneten Aktionen.

Hinweise

Damit Sie die erforderlichen Aktionen verwenden können, müssen Sie die Integrationen heruntergeladen und im Content Hub (Marketplace für SOAR-Nutzer) konfiguriert haben. Weitere Informationen zu Integrationen finden Sie unter Integrationen konfigurieren.

Wenn das Playbook ausgeführt wird, gibt jede Aktion Informationen zurück, die Folgendes umfassen können:

  • Ausgabemeldung, Tabellen, Anhänge, Links, JSON
  • Scriptergebnis (nur innerhalb des Playbooks gültig)

Sie können diese Informationen auf der Fallwand oder auf der Seite „Fälle“ aufrufen.

Wichtige Begriffe für Aktionen

Im Folgenden finden Sie eine Liste der Begriffe in Aktionen:

  • Parameter: Eingabe eines bestimmten Typs, z. B. Text, Platzhalter (Google SecOps-Variable) oder Listenoptionen.
  • Platzhalter: Google SecOps-Variable, die zur Laufzeit ausgefüllt wird. Weitere Informationen zu Parametern und Platzhaltern finden Sie unter Ausdrucks-Editor verwenden.
  • Anreicherung: Sammelt weitere Informationen und Attribute zu einer Entität. Weitere Informationen zur Verwendung von Datenanreicherung
  • Script Result (Skriptergebnis): Der von Google SecOps definierte Rückgabewert einer Aktion.
  • JSON-Ergebnis: Rohdaten, die von der Aktion zurückgegeben werden.
  • Ausdrucksgenerator: Ermöglicht die Bearbeitung von JSON-Ergebnissen und das Extrahieren bestimmter Daten zur Verwendung in Playbook-Aktionen. Weitere Informationen finden Sie unter Ausdrucks-Generator verwenden.

Aktion hinzufügen

So fügen Sie dem Playbook eine Aktion hinzu:

  1. Klicken Sie auf der Seite Antwort > Playbooks auf Schritt hinzufügen.
  2. Wählen Sie auf dem Tab Schrittauswahl den Bereich Aktionen aus.
  3. Klicken Sie im Bereich Aktionen neben dem Namen einer Integration auf den arrow_drop_down  arrow_drop_down und wählen Sie das Aktionselement aus. Wählen Sie in diesem Beispiel E-Mail > E-Mail senden aus.
  4. Ziehen Sie das Element E-Mail senden auf Schritt hierher ziehen.
  5. Doppelklicken Sie, um die Seitenleiste zu öffnen. In der Seitenleiste werden der Name und die Beschreibung der Aktion sowie das endgültige Ergebnis der Aktion (angegeben durch den Ausgabenamen) angezeigt. Bei dieser Vorgehensweise wird davon ausgegangen, dass Sie sich mitten in einem Playbook für einen Anwendungsfall zum Schutz vor Datenverlust (Data Loss Prevention, DLP) befinden und die Felder nach Bedarf konfigurieren. 
  6. Wählen Sie die Instanz aus, die für dieses Playbook verwendet werden soll. Weitere Informationen finden Sie unter Mehrere Instanzen unterstützen.
  7. Definieren Sie die Einheiten, für die die Aktion ausgeführt wird.
  8. Legen Sie den E-Mail-Empfänger für diese Aktion fest, indem Sie einen Platzhalter für die Entitäts-ID einfügen. Fügen Sie für dieses Beispiel einen Platzhalter für die Entitäts-ID hinzu.

Platzhalter hinzufügen

So fügen Sie einen Platzhalter hinzu:

  1. Klicken Sie im Feld Empfänger auf das Platzhaltersymbol ([ ]). 
  2. Wählen Sie unter Platzhalterauswahl die Option Objekt > Entity.Property > Identifier aus.
  3. Klicken Sie auf OK.
  4. Klicken Sie auf Speichern. Die Aktion wird als Aktionsname_Unteraktionsname gespeichert.

Aktionen zuweisen

Im Playbook Designer können Sie Aktionen oder Playbook-Blöcke einem bestimmten Nutzer oder einer bestimmten SOC-Rolle zuweisen. Die zugewiesene Person bestimmt das Ergebnis dieses Schritts im Playbook-Lauf. Sie haben auch die Möglichkeit, eine Nachricht zur erforderlichen Aktion einzufügen und einen Countdown für die Antwortzeit zu aktivieren. Der Timer beginnt, sobald das Playbook diesen Punkt im Ablauf erreicht. Weitere Informationen finden Sie unter Aktionen und Playbook-Blöcke zuweisen.

So weisen Sie einem Playbook eine Aktion zu:

  1. Doppelklicken Sie im Playbook auf die gewünschte Aktion.
  2. Wählen Sie in der Liste Aktionstyp die Option Manuell aus.
  3. Wählen Sie in der Liste Zuweisen an den Nutzer oder die SOC-Rolle aus.
  4. Fügen Sie eine klare Nachricht hinzu, in der die erforderliche Aktion erläutert wird. Sie können in diese Nachricht einen Platzhalter einfügen, der dem Nutzer dann auf seiner Startseite im Widget Ausstehende Aktionen und auf der Seite Fallübersicht angezeigt wird.
  5. Optional: Sie können Time to respond (Reaktionszeit) aktivieren, um eine Frist für den Abschluss der Aktion festzulegen. Wenn die Frist nicht eingehalten wird, schlägt die Aktion fehl. Um dieses Ergebnis zu verwalten, konfigurieren Sie den nachfolgenden bedingten Schritt in Ihrem Playbook so, dass der Ablauf mit der Einstellung If previous action fails (Wenn die vorherige Aktion fehlschlägt) gesteuert wird.
  6. Klicken Sie auf Speichern.

Nachdem ein Playbook ausgelöst wurde (in der Regel durch eine aufgenommene Benachrichtigung), wird es automatisch ausgeführt, bis es die Ebene Manuelle Aktion erreicht. Durch diese Aktion wird das Playbook pausiert. Sie wird im Widget Ausstehende Aktionen auf der Startseite und in der Fallübersicht angezeigt. Ein Nutzer muss sie ausführen oder überspringen, um den Ablauf fortzusetzen.

Entitäten anreichern

Die Anreicherung umfasst zusätzliche Daten, die zu einer Entität (z. B. Hostnamen, IP-Adressen und Artefakte) erhoben werden.

Klicken Sie auf dem Tab Fälle auf eine Einheit, um alle vorhandenen Attribute aufzurufen, die dazu gehören. Diese Attribute, auch Anreicherungsparameter genannt, können auch in Platzhaltern verwendet werden. Wenn für eine Entität Attribute fehlen, die Sie benötigen, können Sie eine Aktion verwenden, um die Daten anzureichern. Gehen Sie hierzu folgendermaßen vor:

  1. Klicken Sie in der oberen Leiste des Falls auf  Manuelle Maßnahme, um das Dialogfeld Manuelle Maßnahmen zu öffnen.
  2. Wählen Sie Google Workspace > Entitäten anreichern und dann eine bestimmte Entität aus. Wählen Sie in diesem Beispiel den Nutzer Javier aus.
  3. Klicken Sie auf Ausführen. Schließen Sie das Feld, sobald der grüne Pfeil angezeigt wird.
  4. Klicken Sie unter Wichtige Felder der Entitäten auf die Entität Javier. Eine neue Entity Explorer-Seite wird angezeigt.
  5. Scrollen Sie auf der Seite Entity Explorer, um zu sehen, wem Javier unterstellt ist.
  6. Kehren Sie zur Hauptseite des Falls zurück. Alle Anreicherungsattribute sind jetzt auf der Google SecOps-Plattform verfügbar und werden als eigenständige Einheiten behandelt. So kann beispielsweise die Person, an die Javier berichtet, jetzt als Einheit ausgewählt werden.

Neue Entität erstellen

Die Fachkraft für Datenanalyse wählt beim Erstellen des Playbooks die erforderliche Einheit aus. Die Aktion wird für verschiedene Gruppen von Einheiten ausgeführt. Sie können auch neue Entitätssätze hinzufügen. 

So erstellen Sie eine neue Entität für ein einzelnes Playbook:

  1. Wählen Sie in der Spalte Aktionen die Option Ablauf > Auswahl von Entitäten aus und ziehen Sie sie in den letzten Schritt.
  2. Klicken Sie auf Entitätsauswahl.
  3. Wählen Sie die erforderlichen Entitätsparameter aus. Wählen Sie in diesem Beispiel Reports To entity (Bericht an Einheit) aus. Diese wird jetzt aufgrund der Anreicherungsaktion, die Sie zuvor ausgeführt haben, im System angezeigt.
  4. Legen Sie den Wert auf Director fest und klicken Sie auf Save (Speichern).
  5. Der neue Entitätensatz wird als Entity_Selection_1 gespeichert und ist sofort für die Verwendung in diesem Playbook verfügbar. Wenn Sie zusätzliche Sets erstellen, werden sie fortlaufend nummeriert (z. B. Entity_Selection_2, Entity_Selection_3).

Playbook-Schritte bearbeiten und verwalten

  • Ausschneiden, kopieren, löschen oder einfügen: Klicken Sie mit der rechten Maustaste auf den gewünschten Schritt, um auf das Menü Bearbeiten zuzugreifen. Sie können Schritte innerhalb des aktuellen Playbooks oder in ein anderes kopieren und einfügen.
  • Mehrere Schritte auswählen: Halten Sie die Umschalttaste gedrückt, während Sie mit der linken Maustaste auf mehrere Schritte klicken, um sie auszuwählen. Klicken Sie dann mit der rechten Maustaste auf einen beliebigen hervorgehobenen Schritt, um eine Bulk-Aktion auszuführen (Ausschneiden, Kopieren, Löschen oder Einfügen).
  • Schritt konfigurieren: Doppelklicken Sie auf einen beliebigen Schritt, um die zugehörigen Konfigurationseinstellungen zu öffnen.

Aktion noch einmal ausführen

Wenn eine Aktion fehlschlägt und das Playbook dadurch beendet wird, können Sie das Problem oft beheben und den Ablauf fortsetzen. Wählen Sie in diesem Fall die fehlgeschlagene Aktion aus, um die Fehlermeldung aufzurufen, korrigieren Sie alle falsch eingegebenen Parameter und führen Sie die Aktion dann noch einmal aus.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten