Gerenciar ações em playbooks

Compatível com:

As ações são o próximo conjunto de componentes que podem ser definidos para um playbook. Cada ação é categorizada em uma integração no sistema. Elas incluem tarefas ou ações a serem realizadas pelo playbook. Por exemplo, é possível atribuir um analista a um caso ou, no caso de uma integração de produto externo (como o produto Trellix ePO), definir uma ação para atualizar o agente Trellix. Para cada integração, há uma lista de subações.

Antes de começar

Para usar as ações necessárias, verifique se as integrações foram baixadas e configuradas no Content Hub (Marketplace apenas para usuários da SOAR). Para mais informações sobre integrações, consulte Configurar integrações.

Quando o playbook é executado, cada ação retorna informações que podem incluir o seguinte:

  • Mensagem de saída, tabelas, anexos, links, JSON
  • Resultado do script (válido apenas no próprio playbook)

Você pode conferir essas informações no mural de casos ou na página de casos.

Entender os termos principais para ações

Confira a seguir uma lista de termos em ações:

  • Parâmetros: entrada de algum tipo, incluindo texto, marcador de posição (variável do Google SecOps) ou opções de lista.
  • Marcadores de posição: variável do Google SecOps preenchida no momento da execução. Para detalhes sobre parâmetros e marcadores de posição, consulte Usar o criador de expressões.
  • Enriquecimento: coleta mais informações e atributos sobre uma entidade. Saiba mais sobre como usar o enriquecimento.
  • Resultado do script: valor de retorno de uma ação definido pelo Google SecOps.
  • Resultado em JSON: dados brutos retornados pela ação.
  • Criador de expressões: permite manipular resultados JSON e extrair dados específicos para usar em ações do Playbook. Para mais detalhes, consulte Usar o criador de expressões.

Adicionar uma ação

Para adicionar uma ação ao playbook, faça o seguinte:

  1. Na página Playbooks de Resposta, clique em Adicionar etapa.
  2. Na guia Seleção de etapa, selecione a seção Ações.
  3. Na seção Ações, clique na arrow_drop_down Seta para baixo ao lado do nome de uma integração e selecione o item de ação. Neste exemplo, selecione E-mail > Enviar e-mail.
  4. Arraste o item Enviar e-mail para Arraste uma etapa para cá.
  5. Clique duas vezes para abrir a barra lateral. A barra lateral mostra o nome e a descrição da ação, além do resultado final (mostrado pelo nome da saída). Para este procedimento, suponha que você esteja no meio de um playbook de caso de uso de proteção contra perda de dados (DLP) e configure os campos conforme necessário. 
  6. Escolha a instância a ser usada para esse manual. Para mais informações, consulte Suporte a várias instâncias.
  7. Defina as entidades em que a ação será executada.
  8. Insira um marcador de posição de Identificador de entidade para definir o destinatário do e-mail para essa ação. Para este exemplo, adicione um marcador de posição de identificador de entidade.

Adicionar um marcador de posição

Para adicionar um marcador de posição, faça o seguinte:

  1. No campo Destinatários, clique no ícone de marcador de posição [ ].
  2. Em Seleção de marcador de posição, selecione Objeto > Entity.Property > Identifier.
  3. Clique em OK.
  4. Clique em Salvar. A ação é salva como Nome da ação_Nome da subação.

Atribuir ações

No Designer de playbook, você pode atribuir ações ou blocos de playbook a um usuário ou função do SOC específico. O usuário atribuído determina o resultado dessa etapa na execução do playbook. Você também pode incluir uma mensagem sobre a ação necessária e ativar uma contagem regressiva de Tempo para responder. O timer começa assim que o playbook chega a esse ponto no fluxo. Para mais informações, consulte Atribuir ações e blocos de playbook.

Para atribuir uma ação em um playbook, faça o seguinte:

  1. Clique duas vezes na ação necessária no playbook.
  2. Na lista Tipo de ação, selecione Manual.
  3. Na lista Atribuir a, selecione o usuário ou a função do SOC.
  4. Adicione uma mensagem clara explicando a ação necessária. Você pode inserir um marcador de posição nessa mensagem, que será exibida ao usuário no widget Ações pendentes na página inicial e na página Visão geral de casos.
  5. Opcional: você pode ativar a opção Tempo para responder e definir um prazo para a conclusão da ação. Se o prazo não for atendido, a ação vai falhar. Para gerenciar esse resultado, configure a etapa condicional subsequente no seu playbook para usar a configuração Se a ação anterior falhar e controlar o fluxo.
  6. Clique em Salvar.

Depois que um playbook é acionado (geralmente por um alerta ingerido), ele é executado automaticamente até atingir um nível de Ação manual. Essa ação pausa o playbook e aparece no widget Ações pendentes na página inicial e na Visão geral do caso, exigindo que um usuário a execute ou pule para continuar o fluxo.

Adicionar enriquecimento às entidades

O enriquecimento são dados extras coletados em uma entidade, como nomes de host, endereços IP e artefatos.

Na guia Casos, clique em uma entidade para conferir todos os atributos dela. Esses atributos, também conhecidos como parâmetros de enriquecimento, podem ser usados em marcadores de posição. Se uma entidade não tiver os atributos necessários, use uma ação para executar o enriquecimento. Para isso, siga estas etapas:

  1. Na barra superior do caso, clique em Ação manual para abrir a caixa de diálogo Ações manuais.
  2. Selecione Google Workspace > Enriquecer entidades e escolha uma entidade específica. Neste exemplo, selecione o usuário Javier.
  3. Clique em Executar. Quando a seta verde aparecer, feche esta caixa.
  4. Em Destaques das entidades, clique na entidade Javier. Uma nova página do Entity Explorer vai aparecer.
  5. Na página Explorador de entidades, role a tela para ver a quem Javier se reporta.
  6. Volte para a página principal do caso. Todos os atributos de enriquecimento estão agora na plataforma Google SecOps e são tratados como entidades por si só. Por exemplo, a pessoa a quem Javier se reporta agora pode ser escolhida como uma entidade.

Criar uma nova entidade

O analista escolhe a entidade necessária ao criar o playbook. Há diferentes conjuntos de entidades em que a ação será executada. Você também pode adicionar novos conjuntos de entidades. 

Para criar uma nova entidade para um único playbook, faça o seguinte:

  1. Na coluna Ações, selecione Fluxo > Seleção de entidade e arraste para a etapa final.
  2. Clique em Seleção de entidade.
  3. Selecione os parâmetros de entidade necessários. Neste exemplo, selecione Entidade "Reporta a" (agora preenchida no sistema devido à ação de enriquecimento que você executou antes).
  4. Defina o valor como Diretor e clique em Salvar.
  5. O novo conjunto de entidades é salvo como Entity_Selection_1 e fica disponível imediatamente para uso neste playbook. Se você criar outros conjuntos, eles serão numerados sequencialmente (por exemplo, Entity_Selection_2, Entity_Selection_3).

Editar e gerenciar etapas do playbook

  • Recortar, copiar, excluir ou colar: clique com o botão direito do mouse na etapa necessária para acessar o menu Editar. É possível copiar e colar etapas no mesmo playbook ou em outro.
  • Selecionar várias etapas: pressione a tecla Shift enquanto clica com o botão esquerdo do mouse para selecionar várias etapas. Em seguida, clique com o botão direito do mouse em qualquer etapa destacada para realizar uma ação em massa (Recortar, Copiar, Excluir ou Colar).
  • Etapa de configuração: clique duas vezes em qualquer etapa para abrir as configurações.

Executar uma ação novamente

Quando uma ação falha e faz com que o playbook pare, geralmente é possível corrigir o problema e retomar o fluxo. Quando isso acontecer, selecione a ação com falha para conferir a mensagem de erro, corrija os parâmetros inseridos por engano e execute a ação novamente.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.