Administra acciones en las guías

Compatible con:

Las acciones son el siguiente conjunto de componentes que puedes definir para una guía. Cada acción se categoriza en una integración del sistema. Incluyen tareas o acciones que debe realizar la guía. Por ejemplo, puedes asignar un analista a un caso o, en el caso de una integración de productos externos (como el producto Trellix ePO), puedes establecer una acción para actualizar el agente de Trellix. Para cada integración, hay una lista de subacciones.

Antes de comenzar

Para usar las acciones requeridas, asegúrate de haber descargado y configurado las integraciones desde el Centro de contenido (Marketplace solo para usuarios de SOAR). Para obtener más información sobre las integraciones, consulta Configura integraciones.

Cuando se ejecuta la guía, cada acción devuelve información que puede incluir lo siguiente:

  • Mensajes, tablas, archivos adjuntos, vínculos y JSON de salida
  • Resultado de la secuencia de comandos (solo es válido dentro del manual)

Puedes ver esta información en el muro del caso o en la página de casos.

Comprende los términos clave de las acciones

A continuación, se incluye una lista de los términos dentro de las acciones:

  • Parámetros: Entrada de algún tipo, como texto, marcador de posición (variable de Google SecOps) o opciones de lista.
  • Marcadores de posición: Variable de Google SecOps que se completa en el tiempo de ejecución. Para obtener detalles sobre los parámetros y los marcadores de posición, consulta Cómo usar el compilador de expresiones.
  • Enriquecimiento: Recopila más información y atributos sobre una entidad. Obtén más información para usar el enriquecimiento.
  • Resultado del script: Es el valor de devolución de una acción definido por Google SecOps.
  • Resultado JSON: Son los datos sin procesar que devuelve la acción.
  • Generador de expresiones: Permite manipular resultados JSON y extraer datos específicos para usarlos en acciones del Playbook. Para obtener más información, consulta Cómo usar el compilador de expresiones.

Agrega una acción

Para agregar una acción al manual, haz lo siguiente:

  1. En la página Response > Playbooks, haz clic en Add Step.
  2. En la pestaña Selección de pasos, selecciona la sección Acciones.
  3. En la sección Acciones, haz clic en la arrow_drop_down Flecha hacia abajo junto al nombre de una integración y selecciona el elemento de acción. En este ejemplo, selecciona Correo electrónico > Enviar correo electrónico.
  4. Arrastra el elemento Enviar correo electrónico a Arrastra un paso hasta aquí.
  5. Haz doble clic para abrir la barra lateral. En la barra lateral, se muestran el nombre y la descripción de la acción, junto con el resultado final de la acción (que se muestra en el nombre de salida). Para este procedimiento, supón que estás en medio de un manual de estrategias de casos de uso de protección contra la pérdida de datos (DLP) y configura los campos según sea necesario. 
  6. Elige la instancia que se usará para esta guía. Para obtener más información, consulta Compatibilidad con varias instancias.
  7. Define las entidades en las que se ejecutará la acción.
  8. Inserta un marcador de posición de Identificador de entidad para configurar el destinatario de correo electrónico de esta acción. Para este ejemplo, agrega un marcador de posición de identificador de entidad.

Cómo agregar un marcador de posición

Para agregar un marcador de posición, haz lo siguiente:

  1. En el campo Recipients, haz clic en el ícono de marcador de posición ([ ]) 
  2. En Placeholder Selection, selecciona Object > Entity.Property > Identifier.
  3. Haz clic en Aceptar.
  4. Haz clic en Guardar. La acción se guarda como Nombre de la acción_Nombre de la subacción.

Cómo asignar acciones

En el Diseñador de guías, puedes asignar acciones o bloques de guías a un usuario específico o a un rol de SOC. El usuario asignado determina el resultado de ese paso en la ejecución de la guía. También tienes la opción de incluir un mensaje sobre la acción requerida y habilitar una cuenta regresiva de Tiempo para responder. El temporizador comienza en cuanto la guía llega a ese punto del flujo. Para obtener más información, consulta Cómo asignar acciones y bloques de guiones.

Para asignar una acción en una guía, haz lo siguiente:

  1. Haz doble clic en la acción requerida en el manual.
  2. En la lista Tipo de acción, selecciona Manual.
  3. En la lista Asignar a, selecciona el usuario o el rol del SOC.
  4. Agrega un mensaje claro en el que se explique la acción requerida. Puedes insertar un marcador de posición en este mensaje, que luego se mostrará al usuario en el widget Acciones pendientes de su página principal y en la página Resumen de casos.
  5. Opcional: Puedes habilitar Tiempo para responder para establecer una fecha límite para completar la acción. Si no se cumple el plazo, la acción falla. Para administrar este resultado, configura el paso condicional posterior en tu guía para que use el parámetro de configuración Si falla la acción anterior para controlar el flujo.
  6. Haz clic en Guardar.

Después de que se activa una guía (por lo general, a partir de una alerta ingerida), se ejecuta automáticamente hasta que alcanza un nivel de Acción manual. Esta acción pausa la guía y aparece en el widget Acciones pendientes de la página principal y en el Resumen del caso, lo que requiere que el usuario la ejecute o la omita para continuar con el flujo.

Agrega enriquecimiento a las entidades

El enriquecimiento son los datos adicionales que se recopilan sobre una entidad (como nombres de host, direcciones IP y artefactos).

En la pestaña Casos, haz clic en una entidad para ver todos los atributos existentes que le pertenecen. Estos atributos, también conocidos como parámetros de enriquecimiento, también se pueden usar en marcadores de posición. Si a una entidad le faltan atributos que necesitas, usa una acción para ejecutar el enriquecimiento. Para ello, sigue estos pasos:

  1. En la barra superior del caso, haz clic en Acción manual para abrir el diálogo Acciones manuales.
  2. Selecciona Google Workspace > Enrich Entities y, luego, elige una entidad específica. En este ejemplo, selecciona el usuario Javier.
  3. Haz clic en Ejecutar. Cuando aparezca la flecha verde, cierra este cuadro.
  4. En Lo más destacado de las entidades, haz clic en la entidad Javier. Aparecerá una nueva página del Explorador de entidades.
  5. En la página Entity Explorer, desplázate para ver a quién le informa Javier.
  6. Regresa a la página principal del caso. Todos los atributos de enriquecimiento ahora se encuentran en la plataforma de Google SecOps y se consideran entidades por sí mismos. Por ejemplo, la persona a la que Javier le informa ahora se puede elegir como una entidad.

Crea una entidad nueva

El analista elige la entidad requerida cuando crea el manual. Existen diferentes conjuntos de entidades en los que se ejecutará la acción. También puedes agregar conjuntos de entidades nuevos. 

Para crear una entidad nueva para una sola guía, haz lo siguiente:

  1. En la columna Acciones, selecciona Flujo > Selección de entidades y arrástrala al paso final.
  2. Haz clic en Selección de entidades.
  3. Selecciona los parámetros de entidad obligatorios. En este ejemplo, selecciona Entidad de informes a (ahora completada en el sistema debido a la acción de enriquecimiento que ejecutaste antes).
  4. Establece su valor en Director y haz clic en Guardar.
  5. El nuevo conjunto de entidades se guarda como Entity_Selection_1 y está disponible de inmediato para su uso en este manual. Si creas conjuntos adicionales, se numeran de forma secuencial (por ejemplo, Entity_Selection_2, Entity_Selection_3).

Edita y administra los pasos de la guía

  • Cortar, copiar, borrar o pegar: Haz clic con el botón derecho en el paso requerido para acceder al menú Editar. Puedes copiar y pegar pasos dentro del manual actual o en otro diferente.
  • Selecciona varios pasos: Presiona la tecla Mayúsculas mientras haces clic con el botón izquierdo para seleccionar varios pasos. Luego, haz clic con el botón derecho en cualquier paso destacado para realizar una acción masiva (Cortar, Copiar, Borrar o Pegar).
  • Paso de configuración: Haz doble clic en cualquier paso para abrir su configuración.

Cómo volver a ejecutar una acción

Cuando una acción falla y hace que la guía se detenga, a menudo puedes solucionar el problema y reanudar el flujo. Cuando esto suceda, selecciona la acción fallida para ver el mensaje de error, corrige los parámetros que se ingresaron por error y, luego, vuelve a ejecutar la acción.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.