Gérer les actions dans les playbooks

Compatible avec :

Les actions sont le prochain ensemble de composants que vous pouvez définir pour un playbook. Chaque action est classée dans une intégration du système. Ils incluent des tâches ou des actions à effectuer par le playbook. Par exemple, vous pouvez attribuer un analyste à une demande ou, en cas d'intégration d'un produit externe (tel que Trellix ePO), vous pouvez définir une action pour mettre à jour l'agent Trellix. Pour chaque intégration, une liste de sous-actions est disponible.

Avant de commencer

Pour utiliser les actions requises, assurez-vous d'avoir téléchargé et configuré les intégrations depuis le Hub de contenu (Marketplace pour les utilisateurs SOAR uniquement). Pour en savoir plus sur les intégrations, consultez Configurer les intégrations.

Lorsque le playbook s'exécute, chaque action renvoie des informations qui peuvent inclure les éléments suivants :

  • Message de sortie, tableaux, pièces jointes, liens, JSON
  • Résultat du script (valide uniquement dans le playbook lui-même)

Vous pouvez consulter ces informations sur le mur des demandes ou sur la page "Demandes".

Comprendre les termes clés pour les actions

Voici une liste des termes utilisés dans les actions :

  • Paramètres : saisie d'un type quelconque, y compris du texte, un espace réservé (variable Google SecOps) ou des options de liste.
  • Espaces réservés : variable Google SecOps renseignée lors de l'exécution. Pour en savoir plus sur les paramètres et les espaces réservés, consultez Utiliser le générateur d'expressions.
  • Enrichissement : collecte plus d'informations et d'attributs sur une entité. En savoir plus sur l' utilisation de l'enrichissement
  • Résultat du script : valeur de retour d'une action définie par Google SecOps.
  • Résultat JSON : données brutes renvoyées par l'action.
  • Générateur d'expressions : permet de manipuler les résultats JSON et d'extraire des données spécifiques à utiliser dans les actions du playbook. Pour en savoir plus, consultez Utiliser le générateur d'expressions.

Ajouter une action

Pour ajouter une action au playbook :

  1. Sur la page Réponse > Playbooks, cliquez sur Ajouter une étape.
  2. Dans l'onglet Sélection de l'étape, sélectionnez la section Actions.
  3. Dans la section Actions, cliquez sur la arrow_drop_down à côté du nom d'une intégration, puis sélectionnez l'élément d'action. Dans cet exemple, sélectionnez E-mail > Envoyer un e-mail.
  4. Faites glisser l'élément Envoyer un e-mail vers Faites glisser une étape ici.
  5. Double-cliquez pour ouvrir la barre latérale. La barre latérale affiche le nom et la description de l'action, ainsi que le résultat final de l'action (indiqué par le nom de la sortie). Pour cette procédure, supposez que vous êtes au milieu d'un playbook de cas d'utilisation de protection contre la perte de données (DLP) et configurez les champs selon les besoins. 
  6. Choisissez l'instance à utiliser pour ce playbook. Pour en savoir plus, consultez Compatibilité avec plusieurs instances.
  7. Définissez les entités sur lesquelles l'action s'exécutera.
  8. Définissez le destinataire de l'e-mail pour cette action en insérant un espace réservé Identifiant d'entité. Pour cet exemple, ajoutez un espace réservé pour l'identifiant d'entité.

Ajouter un espace réservé

Pour ajouter un espace réservé :

  1. Dans le champ Destinataires, cliquez sur l'icône d'espace réservé ([ ]). 
  2. Dans Sélection de l'espace réservé, sélectionnez Objet > Propriété de l'entité > Identifiant.
  3. Cliquez sur OK.
  4. Cliquez sur Enregistrer. L'action est enregistrée sous le nom Nom de l'action_Nom de la sous-action.

Attribuer des actions

Dans le concepteur de playbooks, vous pouvez attribuer des actions ou des blocs de playbook à un utilisateur ou à un rôle SOC spécifique. La personne à laquelle la tâche est attribuée détermine le résultat de cette étape dans l'exécution du playbook. Vous pouvez également inclure un message sur l'action requise et activer un compte à rebours Temps de réponse. Le minuteur démarre dès que le playbook atteint ce point du flux. Pour en savoir plus, consultez Attribuer des actions et des blocs de playbook.

Pour attribuer une action dans un playbook :

  1. Double-cliquez sur l'action requise dans le playbook.
  2. Dans la liste Type d'action, sélectionnez Manuel.
  3. Dans la liste Attribuer à, sélectionnez l'utilisateur ou le rôle SOC.
  4. Ajoutez un message clair expliquant l'action requise. Vous pouvez insérer un espace réservé dans ce message, qui s'affiche ensuite pour l'utilisateur dans le widget Actions en attente sur sa page d'accueil et sur la page Aperçu des demandes.
  5. Facultatif : Vous pouvez activer l'option Délai de réponse pour définir un délai pour l'exécution de l'action. Si le délai n'est pas respecté, l'action échoue. Pour gérer ce résultat, configurez l'étape conditionnelle suivante de votre playbook afin qu'elle utilise le paramètre Si l'action précédente échoue pour contrôler le flux.
  6. Cliquez sur Enregistrer.

Une fois qu'un playbook est déclenché (généralement par une alerte ingérée), il s'exécute automatiquement jusqu'à ce qu'il atteigne le niveau Action manuelle. Cette action met en pause le playbook et s'affiche dans le widget Actions en attente sur la page d'accueil et dans l'Aperçu de la demande. L'utilisateur doit l'exécuter ou la passer pour continuer le flux.

Ajouter un enrichissement aux entités

L'enrichissement correspond à des données supplémentaires collectées sur une entité (telles que des noms d'hôte, des adresses IP et des artefacts).

Dans l'onglet Cas, cliquez sur une entité pour afficher tous les attributs existants qui lui appartiennent. Ces attributs, également appelés paramètres d'enrichissement, peuvent également être utilisés dans des espaces réservés. Si une entité ne comporte pas les attributs dont vous avez besoin, utilisez une action pour exécuter l'enrichissement. Pour ce faire, procédez comme suit :

  1. Sous la barre supérieure de la fiche, cliquez sur Action manuelle pour ouvrir la boîte de dialogue Actions manuelles.
  2. Sélectionnez Google Workspace > Enrichir les entités, puis sélectionnez une entité spécifique. Dans cet exemple, sélectionnez l'utilisateur Javier.
  3. Cliquez sur Exécuter. Une fois la flèche verte affichée, fermez cette boîte de dialogue.
  4. Dans Champs des entités mis en avant, cliquez sur l'entité Javier. Une nouvelle page "Explorateur d'entités" s'affiche.
  5. Sur la page Explorateur d'entités, faites défiler la page pour voir à qui Javier est rattaché.
  6. Revenez à la page principale de la demande. Tous les attributs d'enrichissement se trouvent désormais sur la plate-forme Google SecOps et sont traités comme des entités à part entière. Par exemple, la personne à laquelle Javier rend compte peut désormais être choisie comme entité.

Créer une entité

L'analyste choisit l'entité requise lors de la création du playbook. L'action s'exécutera sur différents ensembles d'entités. Vous pouvez également choisir d'ajouter des ensembles d'entités. 

Pour créer une entité pour un seul playbook :

  1. Dans la colonne Actions, sélectionnez Flux > Sélection d'entités, puis faites-la glisser vers la dernière étape.
  2. Cliquez sur Sélection d'entités.
  3. Sélectionnez les paramètres d'entité requis. Dans cet exemple, sélectionnez Entité "Rapports à" (qui est désormais renseignée dans le système grâce à l'action d'enrichissement que vous avez exécutée précédemment).
  4. Définissez sa valeur sur Director (Réalisateur), puis cliquez sur Save (Enregistrer).
  5. Le nouvel ensemble d'entités est enregistré sous le nom Entity_Selection_1 et est immédiatement disponible pour être utilisé dans ce playbook. Si vous créez d'autres ensembles, ils sont numérotés de manière séquentielle (par exemple, Entity_Selection_2, Entity_Selection_3).

Modifier et gérer les étapes d'un playbook

  • Couper, copier, supprimer ou coller : effectuez un clic droit sur l'étape requise pour accéder au menu Modifier. Vous pouvez copier et coller des étapes dans le playbook actuel ou dans un autre.
  • Sélectionner plusieurs étapes : appuyez sur la touche Maj tout en cliquant sur les étapes à sélectionner. Ensuite, effectuez un clic droit sur l'une des étapes mises en surbrillance pour effectuer une action groupée (Couper, Copier, Supprimer ou Coller).
  • Configurer une étape : double-cliquez sur une étape pour ouvrir ses paramètres de configuration.

Exécuter à nouveau une action

Lorsqu'une action échoue et provoque l'arrêt du playbook, vous pouvez souvent résoudre le problème et reprendre le flux. Dans ce cas, sélectionnez l'action ayant échoué pour afficher le message d'erreur, corrigez les paramètres saisis par erreur, puis réexécutez l'action.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.