Mengelola tindakan dalam playbook

Didukung di:

Tindakan adalah kumpulan komponen berikutnya yang dapat Anda tentukan untuk playbook. Setiap tindakan dikategorikan dalam integrasi di sistem. Langkah-langkah ini mencakup tugas atau tindakan yang akan dilakukan oleh playbook. Misalnya, Anda dapat menetapkan analis ke kasus, atau dalam kasus integrasi produk eksternal (seperti produk Trellix ePO), Anda dapat menyetel tindakan untuk mengupdate Trellix Agent. Untuk setiap integrasi, ada daftar sub-tindakan.

Sebelum memulai

Untuk menggunakan tindakan yang diperlukan, pastikan Anda telah mendownload dan mengonfigurasi integrasi dari Hub Konten (Marketplace untuk pengguna khusus SOAR). Untuk mengetahui informasi selengkapnya tentang integrasi, lihat Mengonfigurasi integrasi.

Saat playbook berjalan, setiap tindakan akan menampilkan informasi yang dapat mencakup hal berikut:

  • Pesan output, tabel, lampiran, link, JSON
  • Hasil skrip (hanya valid dalam playbook itu sendiri)

Anda dapat melihat informasi ini di dinding kasus atau di halaman kasus.

Memahami istilah utama untuk tindakan

Berikut adalah daftar istilah dalam tindakan:

  • Parameter: Input dari beberapa jenis, termasuk teks, placeholder (variabel Google SecOps), atau opsi daftar.
  • Placeholder: Variabel Google SecOps yang diisi pada waktu berjalan. Untuk mengetahui detail tentang parameter dan placeholder, lihat Menggunakan Pembuat Ekspresi.
  • Pengayaan: Mengumpulkan lebih banyak informasi dan atribut tentang suatu entitas. Pelajari lebih lanjut cara menggunakan pengayaan.
  • Hasil Skrip: Nilai hasil tindakan yang ditentukan Google SecOps.
  • Hasil JSON: Data mentah yang ditampilkan tindakan.
  • Pembuat Ekspresi: Memungkinkan manipulasi hasil JSON dan ekstraksi data tertentu untuk digunakan dalam tindakan Playbook. Untuk mengetahui detailnya, lihat Menggunakan Pembuat Ekspresi.

Menambahkan tindakan

Untuk menambahkan tindakan ke playbook, lakukan hal berikut:

  1. Di halaman Respons > Playbook, klik Tambahkan Langkah.
  2. Di tab Step Selection, pilih bagian Actions.
  3. Di bagian Tindakan, klik arrow_drop_down Panah Bawah di samping nama integrasi, lalu pilih item tindakan. Dalam contoh ini, pilih Email > Kirim Email.
  4. Tarik item Kirim Email ke Tarik langkah ke sini.
  5. Klik dua kali untuk membuka sidebar. Sidebar menampilkan nama dan deskripsi tindakan, beserta hasil tindakan akhir (ditampilkan oleh Nama Output). Untuk prosedur ini, asumsikan Anda sedang berada di tengah playbook kasus penggunaan perlindungan kebocoran data (DLP) dan konfigurasi kolom sesuai kebutuhan. 
  6. Pilih instance yang akan digunakan untuk playbook ini. Untuk mengetahui informasi selengkapnya, lihat Mendukung beberapa instance.
  7. Tentukan entitas tempat tindakan akan dijalankan.
  8. Tetapkan penerima email untuk tindakan ini dengan menyisipkan placeholder Entity Identifier. Untuk contoh ini, tambahkan placeholder ID Entitas.

Menambahkan placeholder

Untuk menambahkan placeholder, lakukan hal berikut:

  1. Di kolom Penerima, klik ikon tempat penampung ([ ])  
  2. Di Placeholder Selection, pilih Object > Entity.Property > Identifier.
  3. Klik Oke.
  4. Klik Simpan. Tindakan disimpan sebagai Nama tindakan_Nama Sub-tindakan.

Menetapkan tindakan

Di Perancang Playbook, Anda dapat menetapkan tindakan atau blok playbook kepada pengguna atau peran SOC tertentu. Penerima tugas menentukan hasil langkah tersebut dalam proses playbook. Anda juga memiliki opsi untuk menyertakan pesan tentang tindakan yang diperlukan dan mengaktifkan hitung mundur Waktu untuk merespons. Timer dimulai segera setelah playbook mencapai titik tersebut dalam alur. Untuk mengetahui informasi selengkapnya, lihat Menetapkan tindakan dan blok playbook.

Untuk menetapkan tindakan dalam playbook, lakukan hal berikut:

  1. Klik dua kali tindakan yang diperlukan dalam playbook.
  2. Dalam daftar Jenis Tindakan, pilih Manual.
  3. Di daftar Assign To, pilih peran pengguna atau SOC.
  4. Tambahkan pesan yang jelas yang menjelaskan tindakan yang diperlukan. Anda dapat menyisipkan placeholder dalam pesan ini, yang kemudian ditampilkan kepada pengguna di widget Tindakan Tertunda di halaman beranda mereka dan di halaman Ringkasan Kasus.
  5. Opsional: Anda dapat mengaktifkan Waktu untuk merespons guna menetapkan batas waktu penyelesaian tindakan. Jika batas waktu tidak terpenuhi, tindakan akan gagal. Untuk mengelola hasil ini, konfigurasikan langkah bersyarat berikutnya dalam playbook Anda agar menggunakan setelan Jika tindakan sebelumnya gagal untuk mengontrol alur.
  6. Klik Simpan.

Setelah dipicu (biasanya oleh pemberitahuan yang diproses), playbook akan berjalan secara otomatis hingga mencapai tingkat Tindakan Manual. Tindakan ini menjeda playbook dan muncul di widget Tindakan Tertunda di halaman beranda dan Ringkasan Kasus, yang mengharuskan pengguna menjalankan atau melewatinya untuk melanjutkan alur.

Menambahkan pengayaan ke entitas

Pengayaan adalah data tambahan yang dikumpulkan pada entity (seperti nama host, alamat IP, dan artefak).

Di tab Kasus, klik entitas untuk melihat semua atribut yang ada dan termasuk dalam entitas tersebut. Atribut ini, yang juga dikenal sebagai parameter pengayaan, juga dapat digunakan dalam placeholder. Jika entity tidak memiliki atribut yang Anda butuhkan, gunakan tindakan untuk menjalankan pengayaan. Untuk melakukannya, ikuti langkah-langkah ini:

  1. Di bagian panel atas kasus, klik Tindakan Manual untuk membuka dialog Tindakan Manual.
  2. Pilih Google Workspace > Enrich Entities, lalu pilih entitas tertentu. Dalam contoh ini, pilih pengguna Javier.
  3. Klik Jalankan. Setelah panah hijau muncul, tutup kotak ini.
  4. Di Sorotan Entity, klik entity Javier. Halaman Penjelajah Entitas baru akan muncul.
  5. Di halaman Entity Explorer, scroll untuk melihat siapa yang menjadi atasan Javier.
  6. Kembali ke halaman kasus utama. Semua atribut pengayaan kini ada di platform Google SecOps dan diperlakukan sebagai entitas itu sendiri. Misalnya, orang yang menjadi atasan Javier sekarang dapat dipilih sebagai entitas.

Membuat entity baru

Analis memilih entitas yang diperlukan saat membuat playbook. Ada berbagai kumpulan entitas yang akan menjalankan tindakan. Anda juga dapat memilih untuk menambahkan set entitas baru. 

Untuk membuat entitas baru untuk satu playbook, lakukan hal berikut:

  1. Di kolom Tindakan, pilih Alur > Pemilihan Entitas, lalu tarik ke langkah terakhir.
  2. Klik Entity Selection.
  3. Pilih parameter entitas yang diperlukan. Dalam contoh ini, pilih Entitas Pelaporan Kepada (kini diisi dalam sistem karena tindakan pengayaan yang Anda jalankan sebelumnya).
  4. Tetapkan nilainya ke Director, lalu klik Simpan.
  5. Kumpulan entity baru disimpan sebagai Entity_Selection_1 dan langsung tersedia untuk digunakan dalam playbook ini. Jika Anda membuat set tambahan, set tersebut akan diberi nomor secara berurutan (misalnya, Entity_Selection_2, Entity_Selection_3).

Mengedit dan mengelola langkah-langkah playbook

  • Memotong, menyalin, menghapus, atau menempelkan: Klik kanan langkah yang diperlukan untuk mengakses menu Edit. Anda dapat menyalin dan menempelkan langkah-langkah dalam playbook saat ini atau ke playbook lain.
  • Memilih beberapa langkah: Tekan tombol Shift sambil mengklik kiri untuk memilih beberapa langkah. Kemudian, klik kanan langkah yang ditandai untuk melakukan tindakan massal (Potong, Salin, Hapus, atau Tempel).
  • Konfigurasi langkah: Klik dua kali langkah mana pun untuk membuka setelan konfigurasinya.

Menjalankan ulang tindakan

Jika tindakan gagal dan menyebabkan playbook berhenti, Anda sering kali dapat memperbaiki masalah dan melanjutkan alurnya. Jika hal ini terjadi, pilih tindakan yang gagal untuk melihat pesan error, perbaiki parameter yang salah dimasukkan, lalu jalankan kembali tindakan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.