ハンドブックでアクションを管理する

アクションは、プレイブックに定義できる次のコンポーネントのセットです。各アクションは、システム内のインテグレーションに分類されます。ハンドブックで実行するタスクやアクションが含まれます。たとえば、アナリストをケースに割り当てたり、外部プロダクト統合（Trellix ePO プロダクトなど）の場合は、Trellix Agent を更新するアクションを設定したりできます。各インテグレーションには、サブアクションのリストがあります。

始める前に

必要なアクションを使用するには、Content Hub（SOAR 専用ユーザーの場合は Marketplace）から統合をダウンロードして構成していることを確認してください。統合の詳細については、統合を構成するをご覧ください。

ハンドブックが実行されると、各アクションは次の情報を含む情報を返します。

• 出力メッセージ、テーブル、添付ファイル、リンク、JSON
• スクリプトの結果（プレイブック内でのみ有効）

この情報は、ケースウォールまたはケースページで確認できます。

アクションの主な用語を理解する

アクション内の用語のリストは次のとおりです。

• パラメータ: テキスト、プレースホルダ（Google SecOps 変数）、リスト オプションなどの入力。
• プレースホルダ: 実行時に値が入力される Google SecOps 変数。パラメータとプレースホルダの詳細については、式ビルダーを使用するをご覧ください。
• 拡充: エンティティに関する詳細情報と属性を収集します。詳しくは、 エンリッチメントの使用をご覧ください。
• Script Result: Google SecOps で定義されたアクションの戻り値。
• JSON 結果: アクションが返す元データ。
• 式ビルダー: JSON 結果を操作し、特定のデータを抽出してハンドブック アクションで使用できます。詳細については、式ビルダーを使用するをご覧ください。

アクションの追加

プレイブックにアクションを追加する手順は次のとおりです。

1. [レスポンス] > [ハンドブック] ページで、[ステップを追加] をクリックします。
2. [ステップの選択] タブで、[アクション] セクションを選択します。
3. [アクション] セクションで、インテグレーション名の横にある arrow_drop_down 下矢印をクリックし、アクション アイテムを選択します。この例では、[Email > Send Email] を選択します。
4. [メールを送信] 項目を [ここにステップをドラッグしてください] にドラッグします。
5. ダブルクリックしてサイドバーを開きます。サイドバーには、アクションの名前と説明、最終的なアクションの結果（出力名で示される）が表示されます。この手順では、データ損失防止（DLP）ユースケースのプレイブックの途中で、必要に応じてフィールドを構成することを前提としています。
6. このハンドブックに使用するインスタンスを選択します。詳細については、複数のインスタンスのサポートをご覧ください。
7. アクションが実行されるエンティティを定義します。
8. エンティティ識別子プレースホルダを挿入して、このアクションのメール受信者を設定します。この例では、エンティティ ID のプレースホルダを追加します。

プレースホルダを追加する

プレースホルダを追加する手順は次のとおりです。

1. [受信者] フィールドで、プレースホルダ アイコン（[ ]）をクリックします。
2. [プレースホルダの選択] で、[オブジェクト > エンティティ.プロパティ > 識別子] を選択します。
3. [OK] をクリックします。
4. [保存] をクリックします。アクションは アクション名_サブアクション名として保存されます。
   

アクションを割り当てる

Playbook デザイナーで、アクションまたはハンドブック ブロックを特定のユーザーまたは SOC ロールに割り当てることができます。割り当てられたユーザーは、ハンドブックの実行におけるそのステップの結果を決定します。必要なアクションに関するメッセージを含めたり、返信期限のカウントダウンを有効にしたりすることもできます。プレイブックがフローのそのポイントに達すると、すぐにタイマーが開始されます。詳細については、アクションとプレイブック ブロックを割り当てるをご覧ください。

ハンドブックでアクションを割り当てるには、次の操作を行います。

1. プレイブックで必要なアクションをダブルクリックします。
2. [Action Type] リストで、[Manual] を選択します。
3. [割り当て先] リストで、ユーザーまたは SOC ロールを選択します。
4. 必要な操作を説明する明確なメッセージを追加します。このメッセージにプレースホルダを挿入すると、ユーザーのホームページの [保留中のアクション] ウィジェットと [ケースの概要] ページに表示されます。
5. 省略可: [応答までの時間] を有効にして、アクションの完了期限を設定できます。期限が過ぎると、アクションは失敗します。この結果を管理するには、プレイブックの後続の条件付きステップで、前の操作が失敗した場合の設定を使用してフローを制御するように構成します。
6. [保存] をクリックします。

ハンドブックは、トリガーされると（通常は取り込まれたアラートによって）、[手動アクション] レベルに達するまで自動的に実行されます。このアクションはハンドブックを一時停止し、ホームページの [保留中のアクション] ウィジェットと [ケースの概要] に表示されます。ユーザーがこのアクションを実行またはスキップしないと、フローを続行できません。

エンティティにエンリッチメントを追加する

エンリッチメントは、エンティティ（ホスト名、IP アドレス、アーティファクトなど）について収集された追加データです。

[ケース] タブでエンティティをクリックすると、そのエンティティに属する既存の属性がすべて表示されます。これらの属性（エンリッチメント パラメータとも呼ばれます）は、プレースホルダでも使用できます。必要な属性がエンティティにない場合は、アクションを使用して拡充を実行します。その手順は次のとおりです。

1. ケースの上部バーで、 settings [Manual Action] をクリックして [Manual Actions] ダイアログを開きます。
2. [Google Workspace > エンティティの拡充] を選択し、特定のエンティティを選択します。この例では、ユーザー [Javier] を選択します。
3. [実行] をクリックします。緑色の矢印が表示されたら、このボックスを閉じます。
4. [エンティティ ハイライト] で、エンティティ [Javier] をクリックします。新しい [エンティティ エクスプローラ] ページが表示されます。
5. [エンティティ エクスプローラ] ページで、Javier の上司を確認します。
6. メインのケースページに戻ります。すべてのエンリッチメント属性が Google SecOps プラットフォームに存在し、それ自体がエンティティとして扱われるようになりました。たとえば、Javier の上司をエンティティとして選択できるようになりました。

新しいエンティティの作成

アナリストは、プレイブックの作成時に必要なエンティティを選択します。アクションが実行されるエンティティのセットは複数あります。新しいエンティティ セットを追加することもできます。

単一のハンドブックの新しいエンティティを作成する手順は次のとおりです。

1. [アクション] 列で、[フロー > エンティティの選択] を選択し、最終ステップにドラッグします。
2. [Entity Selection] をクリックします。
3. 必要なエンティティ パラメータを選択します。この例では、[Reports To entity]（先ほど実行した拡充アクションによりシステムにデータが入力されています）を選択します。
4. 値を Director に設定し、[保存] をクリックします。
5. 新しいエンティティ セットは Entity_Selection_1 として保存され、このプレイブックですぐに使用できます。追加のセットを作成すると、順に番号が付けられます（Entity_Selection_2、Entity_Selection_3 など）。

ハンドブックの手順を編集、管理する

• 切り取り、コピー、削除、貼り付け: 必要なステップを右クリックして、[編集] メニューにアクセスします。手順は、現在のプレイブック内または別のプレイブックにコピーして貼り付けることができます。
• 複数のステップを選択する: Shift キーを押しながら左クリックして、複数のステップを選択します。次に、ハイライト表示されたステップを右クリックして、一括操作（切り取り、コピー、削除、貼り付け）を行います。
• 構成ステップ: ステップをダブルクリックして、構成設定を開きます。

アクションを再実行する

アクションが失敗してハンドブックが停止した場合は、問題を解決してフローを再開できることがよくあります。この場合は、失敗したアクションを選択してエラー メッセージを表示し、誤って入力したパラメータを修正してから、アクションを再実行します。