Gestire le azioni nei playbook

Supportato in:

Le azioni sono il successivo insieme di componenti che puoi definire per un playbook. Ogni azione è classificata in un'integrazione nel sistema. Sono incluse attività o azioni da eseguire dal playbook. Ad esempio, puoi assegnare un analista a una richiesta o, in caso di integrazione di un prodotto esterno (come il prodotto Trellix ePO), puoi impostare un'azione per aggiornare Trellix Agent. Per ogni integrazione, è presente un elenco di azioni secondarie.

Prima di iniziare

Per utilizzare le azioni richieste, assicurati di aver scaricato e configurato le integrazioni da Content Hub (Marketplace solo per gli utenti SOAR). Per saperne di più sulle integrazioni, consulta Configurare le integrazioni.

Quando viene eseguito il playbook, ogni azione restituisce informazioni che possono includere quanto segue:

  • Messaggio di output, tabelle, allegati, link, JSON
  • Risultato dello script (valido solo all'interno della guida pratica)

Puoi visualizzare queste informazioni nella bacheca della richiesta o nella pagina delle richieste.

Comprendere i termini chiave per le azioni

Di seguito è riportato un elenco dei termini all'interno delle azioni:

  • Parametri: input di un tipo, tra cui testo, segnaposto (variabile Google SecOps) o opzioni di elenco.
  • Segnaposto: variabile di Google SecOps compilata in fase di esecuzione. Per informazioni dettagliate su parametri e segnaposto, vedi Utilizzare il generatore di espressioni.
  • Arricchimento: raccoglie ulteriori informazioni e attributi su un'entità. Scopri di più sull' utilizzo dell'arricchimento.
  • Risultato script: valore di ritorno di un'azione definito da Google SecOps.
  • Risultato JSON: dati non elaborati restituiti dall'azione.
  • Generatore di espressioni: consente di manipolare i risultati JSON ed estrarre dati specifici da utilizzare nelle azioni del playbook. Per maggiori dettagli, vedi Utilizzare il generatore di espressioni.

Aggiungi un'azione

Per aggiungere un'azione al playbook:

  1. Nella pagina Risposta > Playbook, fai clic su Aggiungi passaggio.
  2. Nella scheda Selezione passaggio, seleziona la sezione Azioni.
  3. Nella sezione Azioni, fai clic sulla arrow_drop_down arrow_drop_down accanto al nome di un'integrazione e seleziona l'elemento di azione. In questo esempio, seleziona Email > Invia email.
  4. Trascina l'elemento Invia email in Trascina un passaggio qui.
  5. Fai doppio clic per aprire la barra laterale. La barra laterale mostra il nome e la descrizione dell'azione, nonché il risultato finale dell'azione (indicato dal nome output). Per questa procedura, supponi di trovarti a metà di un playbook per un caso d'uso di prevenzione della perdita di dati (DLP) e configura i campi come richiesto. 
  6. Scegli l'istanza da utilizzare per questo playbook. Per saperne di più, vedi Supportare più istanze.
  7. Definisci le entità su cui verrà eseguita l'azione.
  8. Imposta il destinatario email per questa azione inserendo un segnaposto Identificatore entità. Per questo esempio, aggiungi un segnaposto per l'identificatore entità.

Aggiungere un segnaposto

Per aggiungere un segnaposto:

  1. Nel campo Destinatari, fai clic sull'icona del segnaposto ([ ]). 
  2. In Selezione segnaposto, seleziona Oggetto > Entity.Property > Identifier.
  3. Fai clic su OK.
  4. Fai clic su Salva. L'azione viene salvata come Nome azione_Nome sottoazione.

Assegnare azioni

In Playbook Designer, puoi assegnare azioni o blocchi del playbook a un utente o a un ruolo SOC specifico. L'assegnatario determina il risultato di questo passaggio nell'esecuzione del playbook. Hai anche la possibilità di includere un messaggio sull'azione richiesta e attivare un conto alla rovescia Tempo per rispondere. Il timer inizia non appena il playbook raggiunge quel punto del flusso. Per saperne di più, consulta Assegnare azioni e blocchi del playbook.

Per assegnare un'azione in un playbook:

  1. Fai doppio clic sull'azione richiesta nel playbook.
  2. Nell'elenco Tipo di azione, seleziona Manuale.
  3. Nell'elenco Assegna a, seleziona l'utente o il ruolo SOC.
  4. Aggiungi un messaggio chiaro che spieghi l'azione richiesta. Puoi inserire un segnaposto in questo messaggio, che viene poi visualizzato dall'utente nel widget Azioni in attesa nella home page e nella pagina Panoramica delle richieste.
  5. (Facoltativo) Puoi attivare Tempo per rispondere per impostare una scadenza per il completamento dell'azione. Se la scadenza non viene rispettata, l'azione non va a buon fine. Per gestire questo risultato, configura il passaggio condizionale successivo nel playbook in modo che utilizzi l'impostazione Se l'azione precedente non va a buon fine per controllare il flusso.
  6. Fai clic su Salva.

Una volta attivato (di solito da un avviso inserito), un playbook viene eseguito automaticamente fino a quando non raggiunge un livello di Azione manuale. Questa azione mette in pausa il playbook e viene visualizzata nel widget Azioni in attesa nella home page e nella Panoramica della richiesta, che richiede a un utente di eseguirla o ignorarla per continuare il flusso.

Aggiungere l'arricchimento alle entità

L'arricchimento consiste in dati aggiuntivi raccolti su un'entità (ad esempio nomi host, indirizzi IP e artefatti).

Nella scheda Casi, fai clic su un'entità per visualizzare tutti gli attributi esistenti che le appartengono. Questi attributi, noti anche come parametri di arricchimento, possono essere utilizzati anche nei segnaposto. Se a un'entità mancano gli attributi che ti servono, utilizza un'azione per eseguire l'arricchimento. A questo scopo, procedi nel seguente modo:

  1. Nella barra superiore della richiesta, fai clic su Azione manuale per aprire la finestra di dialogo Azioni manuali.
  2. Seleziona Google Workspace > Arricchisci entità, quindi seleziona un'entità specifica. In questo esempio, seleziona l'utente Javier.
  3. Fai clic su Esegui. Una volta visualizzata la freccia verde, chiudi questa casella.
  4. In Entità in evidenza, fai clic sull'entità Javier. Viene visualizzata una nuova pagina di Entity Explorer.
  5. Nella pagina Esplora entità, scorri per vedere a chi fa riferimento Javier.
  6. Torna alla pagina principale della richiesta. Tutti gli attributi di arricchimento si trovano ora nella piattaforma Google SecOps e vengono trattati come entità a sé stanti. Ad esempio, la persona a cui fa riferimento Javier ora può essere scelta come entità.

Crea una nuova entità

L'analista sceglie l'entità richiesta durante la creazione del playbook. Esistono diversi set di entità su cui verrà eseguita l'azione. Puoi anche scegliere di aggiungere nuovi set di entità. 

Per creare una nuova entità per un singolo playbook:

  1. Nella colonna Azioni, seleziona Flusso > Selezione entità e trascinala nel passaggio finale.
  2. Fai clic su Selezione entità.
  3. Seleziona i parametri dell'entità richiesti. In questo esempio, seleziona Entità a cui fa riferimento (ora compilata nel sistema grazie all'azione di arricchimento eseguita in precedenza).
  4. Imposta il valore su Director e fai clic su Salva.
  5. Il nuovo insieme di entità viene salvato come Entity_Selection_1 ed è immediatamente disponibile per l'utilizzo in questo playbook. Se crei altri set, questi vengono numerati in sequenza (ad esempio Entity_Selection_2, Entity_Selection_3).

Modificare e gestire i passaggi del playbook

  • Taglia, copia, elimina o incolla: fai clic con il tasto destro del mouse sul passaggio richiesto per accedere al menu Modifica. Puoi copiare e incollare i passaggi all'interno del playbook corrente o in un altro.
  • Seleziona più passaggi: premi il tasto Maiusc mentre fai clic con il tasto sinistro del mouse per selezionare più passaggi. Poi, fai clic con il tasto destro del mouse su un passaggio evidenziato per eseguire un'azione collettiva (Taglia, Copia, Elimina o Incolla).
  • Configura passaggio: fai doppio clic su un passaggio per aprire le impostazioni di configurazione.

Eseguire di nuovo un'azione

Quando un'azione non va a buon fine e causa l'interruzione del playbook, spesso puoi risolvere il problema e riprendere il flusso. Quando si verifica questo problema, seleziona l'azione non riuscita per visualizzare il messaggio di errore, correggi eventuali parametri inseriti per errore e poi esegui di nuovo l'azione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.