Gestionar acciones en guías

Disponible en:

Las acciones son el siguiente conjunto de componentes que puedes definir en una guía. Cada acción se clasifica en una integración del sistema. Incluyen tareas o acciones que debe realizar la guía. Por ejemplo, puede asignar un analista a un caso o, en caso de una integración de un producto externo (como el producto Trellix ePO), puede definir una acción para actualizar el agente de Trellix. En cada integración, hay una lista de subacciones.

Antes de empezar

Para usar las acciones obligatorias, asegúrate de haber descargado y configurado las integraciones desde el centro de contenido (solo para usuarios de SOAR). Para obtener más información sobre las integraciones, consulta Configurar integraciones.

Cuando se ejecuta la guía, cada acción devuelve información que puede incluir lo siguiente:

  • Mensaje de salida, tablas, archivos adjuntos, enlaces y JSON
  • Resultado de la secuencia de comandos (solo es válido en la propia guía)

Puedes ver esta información en el muro del caso o en la página de casos.

Términos clave de las acciones

A continuación se muestra una lista de los términos de las acciones:

  • Parámetros: entrada de algún tipo, como texto, marcador de posición (variable de Google SecOps) u opciones de lista.
  • Marcadores de posición: variable de Google SecOps que se rellena en tiempo de ejecución. Para obtener información sobre los parámetros y los marcadores de posición, consulta el artículo Usar el creador de expresiones.
  • Enriquecimiento: recoge más información y atributos sobre una entidad. Más información sobre cómo usar el enriquecimiento
  • Resultado de la secuencia de comandos: valor de retorno definido por Google SecOps de una acción.
  • Resultado en JSON: datos sin procesar que devuelve la acción.
  • Creador de expresiones: permite manipular resultados JSON y extraer datos específicos para usarlos en acciones de Playbook. Para obtener más información, consulta Usar el creador de expresiones.

Añadir una acción

Para añadir una acción al manual de respuestas, sigue estos pasos:

  1. En la página Respuesta > Playbooks, haz clic en Añadir paso.
  2. En la pestaña Selección de paso, selecciona la sección Acciones.
  3. En la sección Acciones, haz clic en la arrow_drop_down situada junto al nombre de una integración y selecciona el elemento de acción. En este ejemplo, selecciona Correo > Enviar correo.
  4. Arrastra el elemento Enviar correo hasta Arrastra un paso hasta aquí.
  5. Haz doble clic para abrir la barra lateral. En la barra lateral se muestra el nombre y la descripción de la acción, así como el resultado final de la acción (que se indica en Nombre de salida). En este procedimiento, se da por hecho que estás en medio de un manual de casos prácticos de protección contra la pérdida de datos (DLP) y que vas a configurar los campos según sea necesario. 
  6. Elige la instancia que quieras usar en este manual de procedimientos. Para obtener más información, consulta Admitir varias instancias.
  7. Define las entidades en las que se ejecutará la acción.
  8. Para definir el destinatario de correo de esta acción, inserta un marcador de posición Identificador de entidad. En este ejemplo, añade un marcador de posición de identificador de entidad.

Añadir un marcador de posición

Para añadir un marcador de posición, sigue estos pasos:

  1. En el campo Destinatarios, haz clic en el icono de marcador de posición ([ ]). 
  2. En Selección de marcador de posición, selecciona Objeto > Entidad.Propiedad > Identificador.
  3. Haz clic en Aceptar.
  4. Haz clic en Guardar. La acción se guarda como Nombre de la acción_Nombre de la subacción.

Asignar acciones

En el diseñador de guías, puedes asignar acciones o bloques de guías a un usuario o rol de SOC específicos. El usuario asignado determina el resultado de ese paso en la ejecución de la guía. También puedes incluir un mensaje sobre la acción necesaria y habilitar una cuenta atrás de Tiempo de respuesta. El temporizador se inicia en cuanto el manual llega a ese punto del flujo. Para obtener más información, consulta el artículo Asignar acciones y bloques de manual de estrategias.

Para asignar una acción en un manual de respuestas, sigue estos pasos:

  1. Haz doble clic en la acción que quieras del manual de respuestas.
  2. En la lista Tipo de acción, selecciona Manual.
  3. En la lista Asignar a, selecciona el usuario o el rol de SOC.
  4. Añade un mensaje claro que explique la acción necesaria. Puedes insertar un marcador de posición en este mensaje, que se mostrará al usuario en el widget Acciones pendientes de su página principal y en la página Resumen de casos.
  5. Opcional: Puedes habilitar Tiempo de respuesta para definir una fecha límite para completar la acción. Si no se cumple el plazo, la acción falla. Para gestionar este resultado, configura el paso condicional posterior de tu cuaderno de estrategias para que use el ajuste Si falla la acción anterior y así controlar el flujo.
  6. Haz clic en Guardar.

Cuando se activa una guía (normalmente, por una alerta ingerida), se ejecuta automáticamente hasta que alcanza el nivel Acción manual. Esta acción pausa la guía y aparece en el widget Acciones pendientes de la página principal y en Resumen del caso, lo que requiere que un usuario la ejecute o la omita para continuar el flujo.

Añadir enriquecimiento a entidades

El enriquecimiento son datos adicionales recogidos sobre una entidad (como nombres de host, direcciones IP y artefactos).

En la pestaña Casos, haga clic en una entidad para ver todos los atributos que le pertenecen. Estos atributos, también conocidos como parámetros de enriquecimiento, también se pueden usar en marcadores de posición. Si a una entidad le faltan atributos que necesitas, usa una acción para ejecutar el enriquecimiento. Para ello, siga estos pasos:

  1. En la barra superior del caso, haga clic en Acción manual para abrir el cuadro de diálogo Acciones manuales.
  2. Selecciona Google Workspace > Enrich Entities (Google Workspace > Enriquecer entidades) y, a continuación, elige una entidad específica. En este ejemplo, selecciona el usuario Javier.
  3. Haz clic en la opción para ejecutar. Cuando aparezca la flecha verde, cierra este cuadro.
  4. En Aspectos destacados de las entidades, haz clic en la entidad Javier. Se abrirá una página Explorador de entidades.
  5. En la página Explorador de entidades, desplázate para ver a quién informa Javier.
  6. Vuelve a la página principal del caso. Todos los atributos de enriquecimiento se encuentran ahora en la plataforma Google SecOps y se tratan como entidades por sí mismos. Por ejemplo, ahora se puede elegir como entidad a la persona a la que informa Javier.

Crear una entidad nueva

El analista elige la entidad necesaria al crear el manual de procedimientos. Hay diferentes conjuntos de entidades en los que se ejecutará la acción. También puedes añadir conjuntos de entidades. 

Para crear una entidad para un solo manual de procedimientos, sigue estos pasos:

  1. En la columna Acciones, selecciona Flujo > Selección de entidad y arrástralo al paso final.
  2. Haz clic en Selección de entidad.
  3. Seleccione los parámetros de entidad necesarios. En este ejemplo, selecciona Entidad a la que informa (ahora se rellena en el sistema debido a la acción de enriquecimiento que has ejecutado antes).
  4. Asigne el valor Director y haga clic en Guardar.
  5. El nuevo conjunto de entidades se guarda como Entity_Selection_1 y se puede usar inmediatamente en este manual de procedimientos. Si creas conjuntos adicionales, se numerarán secuencialmente (por ejemplo, Entity_Selection_2, Entity_Selection_3).

Editar y gestionar pasos de la guía

  • Cortar, copiar, eliminar o pegar: haz clic con el botón derecho en el paso que quieras para acceder al menú Editar. Puedes copiar y pegar pasos en el manual actual o en otro.
  • Seleccionar varios pasos: pulsa la tecla Mayús mientras haces clic con el botón izquierdo para seleccionar varios pasos. A continuación, haz clic con el botón derecho en cualquier paso resaltado para realizar una acción en bloque (Cortar, Copiar, Eliminar o Pegar).
  • Paso de configuración: haz doble clic en cualquier paso para abrir sus ajustes de configuración.

Volver a ejecutar una acción

Cuando una acción falla y provoca que la guía se detenga, a menudo puedes solucionar el problema y reanudar el flujo. Cuando esto ocurra, selecciona la acción que ha fallado para ver el mensaje de error, corrige los parámetros que hayas introducido por error y vuelve a ejecutar la acción.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.