플레이북에서 작업 관리

다음에서 지원:

작업은 플레이북에 정의할 수 있는 다음 구성요소 집합입니다. 각 작업은 시스템의 통합 아래에 분류됩니다. 여기에는 플레이북에서 실행할 작업이 포함됩니다. 예를 들어 케이스에 분석가를 할당하거나 외부 제품 통합 (예: Trellix ePO 제품)의 경우 Trellix 에이전트를 업데이트하는 작업을 설정할 수 있습니다. 각 통합에는 하위 작업 목록이 있습니다.

시작하기 전에

필수 작업을 사용하려면 콘텐츠 허브 (SOAR 전용 사용자용 마켓플레이스)에서 통합을 다운로드하고 구성해야 합니다. 통합에 관한 자세한 내용은 통합 구성을 참고하세요.

플레이북이 실행되면 각 작업은 다음을 포함할 수 있는 정보를 반환합니다.

  • 출력 메시지, 표, 첨부파일, 링크, JSON
  • 스크립트 결과 (플레이북 내에서만 유효)

이 정보는 케이스 월 또는 케이스 페이지에서 확인할 수 있습니다.

액션의 주요 용어 이해하기

다음은 작업 내 용어 목록입니다.

  • 매개변수: 텍스트, 자리표시자 (Google SecOps 변수), 목록 옵션 등 일부 유형의 입력입니다.
  • 자리표시자: 실행 시 채워지는 Google SecOps 변수입니다. 매개변수 및 자리표시자에 관한 자세한 내용은 표현식 빌더 사용을 참고하세요.
  • 강화: 엔티티에 관한 추가 정보와 속성을 수집합니다. 강화 사용에 대해 자세히 알아보세요.
  • 스크립트 결과: Google SecOps에서 정의한 작업의 반환 값입니다.
  • JSON 결과: 작업에서 반환하는 원시 데이터입니다.
  • 표현식 빌더: JSON 결과를 조작하고 플레이북 작업에 사용할 특정 데이터를 추출할 수 있습니다. 자세한 내용은 표현식 빌더 사용하기를 참고하세요.

작업 추가

플레이북에 작업을 추가하려면 다음 단계를 따르세요.

  1. 대응 > 플레이북 페이지에서 단계 추가를 클릭합니다.
  2. 단계 선택 탭에서 작업 섹션을 선택합니다.
  3. 작업 섹션에서 통합 이름 옆에 있는 arrow_drop_down 아래쪽 화살표를 클릭하고 작업 항목을 선택합니다. 이 예에서는 이메일 > 이메일 보내기를 선택합니다.
  4. 이메일 보내기 항목을 여기로 단계를 드래그하세요로 드래그합니다.
  5. 더블클릭하여 사이드바를 엽니다. 사이드바에는 작업 이름과 설명, 최종 작업 결과 (출력 이름으로 표시됨)가 표시됩니다. 이 절차에서는 데이터 손실 방지 (DLP) 사용 사례 플레이북을 진행 중이라고 가정하고 필요에 따라 필드를 구성합니다. 
  6. 이 플레이북에 사용할 인스턴스를 선택합니다. 자세한 내용은 여러 인스턴스 지원을 참고하세요.
  7. 작업이 실행될 항목을 정의합니다.
  8. 엔티티 식별자 자리표시자를 삽입하여 이 작업의 이메일 수신자를 설정합니다. 이 예시에서는 엔티티 식별자 자리표시자를 추가합니다.

자리표시자 추가

자리표시자를 추가하려면 다음 단계를 따르세요.

  1. 수신자 필드에서 자리표시자 아이콘 ([ ])을 클릭합니다. 
  2. 자리표시자 선택에서 객체 > Entity.Property > 식별자를 선택합니다.
  3. 확인을 클릭합니다.
  4. 저장을 클릭합니다. 작업은 작업 이름_하위 작업 이름으로 저장됩니다.

작업 할당

플레이북 디자이너에서 특정 사용자 또는 SOC 역할에 작업 또는 플레이북 블록을 할당할 수 있습니다. 담당자는 플레이북 실행에서 해당 단계의 결과를 결정합니다. 필요한 조치에 관한 메시지를 포함하고 응답 기한 카운트다운을 사용 설정할 수도 있습니다. 플레이북이 흐름의 해당 지점에 도달하면 타이머가 시작됩니다. 자세한 내용은 작업 및 플레이북 블록 할당을 참고하세요.

플레이북에서 작업을 할당하려면 다음 단계를 따르세요.

  1. 플레이북에서 필요한 작업을 더블클릭합니다.
  2. 작업 유형 목록에서 수동을 선택합니다.
  3. 할당 대상 목록에서 사용자 또는 SOC 역할을 선택합니다.
  4. 필요한 작업을 설명하는 명확한 메시지를 추가합니다. 이 메시지에 자리표시자를 삽입할 수 있으며, 이 자리표시자는 홈페이지의 대기 중인 작업 위젯과 케이스 개요 페이지에 사용자에게 표시됩니다.
  5. 선택사항: 응답 시간을 사용 설정하여 작업 완료 기한을 설정할 수 있습니다. 기한을 충족하지 않으면 작업이 실패합니다. 이 결과를 관리하려면 플레이북에서 후속 조건부 단계를 구성하여 이전 작업이 실패한 경우 설정을 사용하여 흐름을 제어하세요.
  6. 저장을 클릭합니다.

플레이북은 트리거된 후 (일반적으로 수집된 알림에 의해) 수동 작업 수준에 도달할 때까지 자동으로 실행됩니다. 이 작업은 플레이북을 일시중지하며 홈페이지의 대기 중인 작업 위젯과 케이스 개요에 표시됩니다. 흐름을 계속하려면 사용자가 이 작업을 실행하거나 건너뛰어야 합니다.

항목에 보강 추가

강화는 엔티티 (예: 호스트 이름, IP 주소, 아티팩트)에 대해 수집된 추가 데이터입니다.

케이스 탭에서 항목을 클릭하여 항목에 속한 모든 기존 속성을 확인합니다. 강화 매개변수라고도 하는 이러한 속성은 자리표시자에서도 사용할 수 있습니다. 필요한 속성이 항목에 누락된 경우 작업을 사용하여 보강을 실행하세요. 이를 위해 다음 단계를 따르세요.

  1. 케이스 상단 바에서 직접 조치를 클릭하여 직접 조치 대화상자를 엽니다.
  2. Google Workspace > 항목 보강을 선택한 다음 특정 항목을 선택합니다. 이 예에서는 사용자 Javier를 선택합니다.
  3. 실행을 클릭합니다. 녹색 화살표가 표시되면 이 상자를 닫습니다.
  4. 항목 정보에서 항목 Javier를 클릭합니다. 새 항목 탐색기 페이지가 표시됩니다.
  5. 엔티티 탐색기 페이지에서 Javier의 직속 상사를 확인합니다.
  6. 기본 케이스 페이지로 돌아갑니다. 이제 모든 보강 속성이 Google SecOps 플랫폼에 있으며 자체적으로 엔티티로 취급됩니다. 예를 들어 이제 하비에르가 보고하는 사람을 엔티티로 선택할 수 있습니다.

새 항목 생성

분석가는 플레이북을 빌드할 때 필요한 항목을 선택합니다. 작업이 실행되는 항목 집합은 다양합니다. 새 엔티티 세트를 추가할 수도 있습니다. 

단일 플레이북의 새 항목을 만들려면 다음 단계를 따르세요.

  1. 작업 열에서 흐름 > 엔티티 선택을 선택하고 마지막 단계로 드래그합니다.
  2. 항목 선택을 클릭합니다.
  3. 필수 항목 매개변수를 선택합니다. 이 예에서는 Reports To entity (이전에 실행한 보강 작업으로 인해 시스템에 채워짐)를 선택합니다.
  4. 값을 Director로 설정하고 Save를 클릭합니다.
  5. 새 항목 집합이 Entity_Selection_1로 저장되며 이 플레이북 내에서 즉시 사용할 수 있습니다. 추가 세트를 만들면 순차적으로 번호가 지정됩니다 (예: Entity_Selection_2, Entity_Selection_3).

플레이북 단계 수정 및 관리

  • 잘라내기, 복사, 삭제 또는 붙여넣기: 필요한 단계를 마우스 오른쪽 버튼으로 클릭하여 수정 메뉴에 액세스합니다. 현재 플레이북 내에서 또는 다른 플레이북으로 단계를 복사하여 붙여넣을 수 있습니다.
  • 여러 단계 선택: 왼쪽 클릭하여 여러 단계를 선택하는 동안 Shift 키를 누릅니다. 그런 다음 강조 표시된 단계를 마우스 오른쪽 버튼으로 클릭하여 일괄 작업 (잘라내기, 복사, 삭제 또는 붙여넣기)을 실행합니다.
  • 구성 단계: 단계를 더블클릭하여 구성 설정을 엽니다.

작업 다시 실행

작업이 실패하여 플레이북이 중지된 경우 문제를 해결하고 흐름을 재개할 수 있는 경우가 많습니다. 이 경우 실패한 작업을 선택하여 오류 메시지를 확인하고, 잘못 입력된 매개변수를 수정하고, 작업을 다시 실행합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.