管理 playbook 中的操作

支持的平台:

操作是您可以为剧本定义的下一组组件。每项操作都归类到系统中的某个集成下。它们包含 playbook 要执行的任务或操作。例如,您可以为支持请求分配分析师,或者在进行外部产品集成(例如 Trellix ePO 产品)时,您可以设置一项操作来更新 Trellix Agent。对于每项集成,都有一份子操作列表。

准备工作

如需使用必需的操作,请确保您已从内容中心(仅限 SOAR 用户使用的 Marketplace)下载并配置集成。如需详细了解集成,请参阅配置集成

当 playbook 运行时,每个操作都会返回信息,这些信息可能包括以下内容:

  • 输出消息、表格、附件、链接、JSON
  • 脚本结果(仅在 playbook 本身中有效)

您可以在支持请求墙或支持请求页面上查看此信息。

了解操作的关键术语

以下是操作中的术语列表:

  • 参数:某种类型的输入,包括文本、占位符(Google SecOps 变量)或列表选项。
  • 占位符:在运行时填充的 Google SecOps 变量。如需详细了解参数和占位符,请参阅使用表达式构建器
  • 扩充:收集有关实体的更多信息和属性。详细了解如何 使用丰富化功能
  • 脚本结果:Google SecOps 定义的操作返回值。
  • JSON 结果:操作返回的原始数据。
  • 表达式构建器:可用于处理 JSON 结果并提取特定数据以在 Playbook 操作中使用。如需了解详情,请参阅使用表达式构建器

添加操作

如需向剧本添加操作,请执行以下操作:

  1. 响应 > Playbook 页面上,点击添加步骤
  2. 步骤选择标签页中,选择操作部分。
  3. 操作部分,点击集成名称旁边的 arrow_drop_down 向下箭头,然后选择操作项。在此示例中,依次选择电子邮件 > 发送电子邮件
  4. 发送电子邮件项拖动到将步骤拖到此处
  5. 双击即可打开边栏。边栏会显示操作的名称和说明,以及最终操作结果(由“输出名称”显示)。在此过程中,假设您正在使用数据泄露防护 (DLP) 使用情形剧本,并根据需要配置相应字段。
  6. 选择要用于此策略方案的实例。如需了解详情,请参阅支持多个实例
  7. 定义操作将针对哪些实体运行。
  8. 通过插入实体标识符占位符,为此操作设置电子邮件收件人。在此示例中,添加一个实体标识符占位符。

添加占位符

如需添加占位符,请执行以下操作:

  1. 收件人字段中,点击占位符图标 ([ ])
  2. 占位符选择中,依次选择对象 > Entity.Property > 标识符
  3. 点击确定
  4. 点击保存。操作会保存为“操作名称_子操作名称”。

分配操作

在 Playbook 设计器中,您可以将操作或 playbook 块分配给特定用户或 SOC 角色。分配对象决定了 playbook 运行中相应步骤的结果。您还可以选择添加有关所需操作的消息,并启用响应时间倒计时。当剧本到达流程中的相应点时,计时器就会开始计时。如需了解详情,请参阅分配操作和剧本块

如需在 playbook 中分配操作,请执行以下操作:

  1. 双击剧本中的所需操作。
  2. 操作类型列表中,选择手动
  3. 分配给列表中,选择用户或 SOC 角色。
  4. 添加明确的消息,说明所需的操作。您可以在此消息中插入一个占位符,然后该占位符会显示在用户首页的待处理的操作 widget 和支持请求概览页面上。
  5. 可选:您可以启用响应时间,为完成操作设置截止期限。如果未在截止期限内完成,则操作失败。如需管理此结果,请将剧本中的后续条件步骤配置为使用如果上一步操作失败设置来控制流程。
  6. 点击保存

playbook 被触发(通常是通过接收的提醒)后,会自动运行,直到达到手动操作级别。此操作会暂停 playbook,并显示在首页和问题概览中的待处理的操作 widget 中,需要用户执行或跳过该操作才能继续流程。

向实体添加扩充数据

丰富化是指针对实体(例如主机名、IP 地址和制品)收集的其他数据。

案例标签页中,点击某个实体即可查看属于该实体的所有现有属性。这些属性也称为“丰富参数”,也可在占位符中使用。如果实体缺少您需要的属性,请使用操作来执行丰富。请按以下步骤进行此操作:

  1. 在支持请求顶部栏下方,点击 Manual Action(手动操作),打开 Manual Actions(手动操作)对话框。
  2. 依次选择 Google Workspace > 丰富实体,然后选择特定实体。在此示例中,选择用户 Javier
  3. 点击 Execute。出现绿色箭头后,关闭此框。
  4. 实体突出显示中,点击实体 Javier。系统随即会显示新的实体资源管理器页面。
  5. 实体资源管理器页面上,滚动查看 Javier 的汇报对象。
  6. 返回到主支持请求页面。所有富集属性现在都位于 Google SecOps 平台中,并被视为独立的实体。例如,现在可以将 Javier 的直属上司选为实体。

创建新实体

分析师在构建剧本时选择所需的实体。操作将针对不同的实体集运行。您还可以选择添加新的实体集。

如需为单个剧本创建新实体,请执行以下操作:

  1. 操作列中,依次选择流程 > 实体选择,然后将其拖动到最后一步。
  2. 点击实体选择
  3. 选择所需的实体参数。在此示例中,选择“向实体报告”(现在已填充到系统中,这是由于您之前运行的扩充操作)。
  4. 将其值设置为 Director,然后点击保存
  5. 新实体集会保存为 Entity_Selection_1,并可立即在此剧本中使用。如果您创建其他组,这些组会按顺序编号(例如 Entity_Selection_2Entity_Selection_3)。

修改和管理 playbook 步骤

  • 剪切、复制、删除或粘贴:右键点击所需步骤,以访问修改菜单。您可以复制并粘贴当前剧本中的步骤,也可以将其粘贴到其他剧本中。
  • 选择多个步数:按住 Shift 键,同时点击鼠标左键以选择多个步数。然后,右键点击任意突出显示的步骤,以执行批量操作(剪切复制删除粘贴)。
  • 配置步骤:双击任意步骤即可打开其配置设置。

重新运行操作

如果某项操作失败并导致 playbook 停止,您通常可以修正问题并恢复流程。如果发生这种情况,请选择失败的操作以查看错误消息,更正所有错误输入的参数,然后重新运行该操作。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。