Faça a gestão das ações nos manuais de soluções

Compatível com:

As ações são o conjunto seguinte de componentes que pode definir para um guião. Cada ação é categorizada numa integração no sistema. Incluem tarefas ou ações a serem realizadas pelo manual de soluções. Por exemplo, pode atribuir um analista a um registo ou, no caso de uma integração de produtos externos (como o produto Trellix ePO), pode definir uma ação para atualizar o agente Trellix. Para cada integração, existe uma lista de subações.

Antes de começar

Para usar as ações necessárias, certifique-se de que tem as integrações transferidas e configuradas a partir do Content Hub (Marketplace apenas para utilizadores do SOAR). Para mais informações acerca das integrações, consulte o artigo Configure as integrações.

Quando o manual de soluções é executado, cada ação devolve informações que podem incluir o seguinte:

  • Mensagem de saída, tabelas, anexos, links e JSON
  • Resultado do script (só é válido no próprio manual de estratégias)

Pode ver estas informações no mural de registos ou na página de registos.

Compreenda os termos principais para ações

Segue-se uma lista de termos nas ações:

  • Parâmetros: entrada de algum tipo, incluindo texto, marcador de posição (variável do Google SecOps) ou opções de lista.
  • Marcadores de posição: variável do Google SecOps preenchida no tempo de execução. Para ver detalhes sobre parâmetros e marcadores de posição, consulte o artigo Use o criador de expressões.
  • Enriquecimento: recolhe mais informações e atributos sobre uma entidade. Saiba mais sobre a utilização do enriquecimento.
  • Resultado do script: valor de retorno definido pelo Google SecOps de uma ação.
  • Resultado JSON: dados não processados devolvidos pela ação.
  • Criador de expressões: permite manipular resultados JSON e extrair dados específicos para usar em ações do manual de soluções. Para ver detalhes, consulte o artigo Use o criador de expressões.

Adicione uma ação

Para adicionar uma ação ao manual de soluções, faça o seguinte:

  1. Na página Resposta > Playbooks, clique em Adicionar passo.
  2. No separador Seleção de passos, selecione a secção Ações.
  3. Na secção Ações, clique na seta arrow_drop_down seta para baixo junto ao nome de uma integração e selecione o item de ação. Neste exemplo, selecione Email > Enviar email.
  4. Arraste o item Enviar email para Arraste um passo para aqui.
  5. Clique duas vezes para abrir a barra lateral. A barra lateral apresenta o nome e a descrição da ação, juntamente com o resultado final da ação (apresentado pelo nome de saída). Para este procedimento, partimos do princípio de que está a meio de um manual de exemplos de utilização da Prevenção contra a perda de dados (DLP) e configura os campos conforme necessário. 
  6. Escolha a instância a usar para este manual de soluções. Para mais informações, consulte o artigo Suporte várias instâncias.
  7. Defina as entidades nas quais a ação vai ser executada.
  8. Defina o destinatário do email para esta ação inserindo um marcador de posição de identificador de entidade. Para este exemplo, adicione um marcador de posição de identificador de entidade.

Adicione um marcador de posição

Para adicionar um marcador de posição, faça o seguinte:

  1. No campo Destinatários, clique no ícone de marcador de posição ([ ])  
  2. Em Seleção de marcadores de posição, selecione Objeto > Entidade.Propriedade > Identificador.
  3. Clique em OK.
  4. Clique em Guardar. A ação é guardada como Nome da ação_Nome da subação.

Atribua ações

No criador de manuais de procedimentos, pode atribuir ações ou blocos de manuais de procedimentos a um utilizador específico ou a uma função do SOC. A pessoa atribuída determina o resultado desse passo na execução do manual de procedimentos. Também tem a opção de incluir uma mensagem sobre a ação necessária e ativar uma contagem decrescente do Tempo de resposta. O temporizador começa assim que o manual de soluções atinge esse ponto no fluxo. Para mais informações, consulte o artigo Atribua ações e blocos de manuais de soluções.

Para atribuir uma ação num manual de estratégias, faça o seguinte:

  1. Clique duas vezes na ação necessária no manual de estratégias.
  2. Na lista Tipo de ação, selecione Manual.
  3. Na lista Atribuir a, selecione o utilizador ou a função do SOC.
  4. Adicione uma mensagem clara a explicar a ação necessária. Pode inserir um marcador de posição nesta mensagem, que é apresentada ao utilizador no widget Ações pendentes na página inicial e na página Vista geral dos registos.
  5. Opcional: pode ativar a opção Tempo para responder para definir um prazo para a conclusão da ação. Se o prazo não for cumprido, a ação falha. Para gerir este resultado, configure o passo condicional subsequente no seu plano de ação para usar a definição Se a ação anterior falhar para controlar o fluxo.
  6. Clique em Guardar.

Depois de um plano de ação ser acionado (normalmente, por um alerta carregado), é executado automaticamente até atingir um nível de Ação manual. Esta ação pausa o manual de soluções e aparece no widget Ações pendentes na página inicial e na Vista geral do registo, o que requer que um utilizador a execute ou ignore para continuar o fluxo.

Adicione o enriquecimento a entidades

O enriquecimento são dados adicionais recolhidos numa entidade (como nomes de anfitriões, endereços IP e artefactos).

No separador Casos, clique numa entidade para ver todos os atributos existentes que lhe pertencem. Estes atributos, também conhecidos como parâmetros de enriquecimento, também podem ser usados em marcadores de posição. Se uma entidade não tiver os atributos de que precisa, use uma ação para executar o enriquecimento. Para o fazer, siga estes passos:

  1. Na barra superior da ficha, clique em Ação manual para abrir a caixa de diálogo Ações manuais.
  2. Selecione Google Workspace > Enriquecer entidades e, de seguida, selecione uma entidade específica. Neste exemplo, selecione o utilizador Javier.
  3. Clique em Executar. Quando a seta verde aparecer, feche esta caixa.
  4. Em Destaques de entidades, clique na entidade Javier. É apresentada uma nova página do explorador de entidades.
  5. Na página Explorador de entidades, desloque a página para ver a quem o Javier reporta.
  6. Regresse à página principal do registo. Todos os atributos de enriquecimento estão agora na plataforma Google SecOps e são tratados como entidades por si só. Por exemplo, a pessoa a quem o Javier reporta pode agora ser escolhida como uma entidade.

Crie uma nova entidade

O analista escolhe a entidade necessária quando cria o manual de procedimentos. Existem diferentes conjuntos de entidades nos quais a ação é executada. Também pode optar por adicionar novos conjuntos de entidades. 

Para criar uma nova entidade para uma única estratégia, faça o seguinte:

  1. Na coluna Ações, selecione Fluxo > Seleção de entidades e arraste-o para o passo final.
  2. Clique em Seleção de entidades.
  3. Selecione os parâmetros de entidade necessários. Neste exemplo, selecione Entidade a quem reporta (agora preenchida no sistema devido à ação de enriquecimento que executou anteriormente).
  4. Defina o respetivo valor como Director e clique em Guardar.
  5. O novo conjunto de entidades é guardado como Entity_Selection_1 e fica imediatamente disponível para utilização neste manual de estratégias. Se criar conjuntos adicionais, estes são numerados sequencialmente (por exemplo, Entity_Selection_2 e Entity_Selection_3).

Edite e faça a gestão das etapas do manual de soluções

  • Cortar, copiar, eliminar ou colar: clique com o botão direito do rato no passo necessário para aceder ao menu Editar. Pode copiar e colar passos no manual atual ou num diferente.
  • Selecionar vários passos: prima a tecla Shift enquanto clica com o botão esquerdo do rato para selecionar vários passos. Em seguida, clique com o botão direito do rato num passo realçado para realizar uma ação em massa (Cortar, Copiar, Eliminar ou Colar).
  • Passo de configuração: clique duas vezes em qualquer passo para abrir as respetivas definições de configuração.

Volte a executar uma ação

Quando uma ação falha e faz com que o guia seja interrompido, muitas vezes, pode corrigir o problema e retomar o fluxo. Quando isto acontece, selecione a ação com falha para ver a mensagem de erro, corrija os parâmetros introduzidos por engano e, em seguida, volte a executar a ação.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.