管理應對手冊中的動作

支援的國家/地區:

動作是您可以為劇本定義的下一組元件。系統會將每個動作歸類在整合項目下。包括應對手冊執行的工作或動作。舉例來說,您可以將案件指派給分析師,或是針對外部產品整合 (例如 Trellix ePO 產品) 設定更新 Trellix Agent 的動作。每個整合服務都有一份子動作清單。

事前準備

如要使用必要動作,請務必從內容中心 (僅限 SOAR 使用者的 Marketplace) 下載並設定整合功能。如要進一步瞭解整合功能,請參閱「設定整合功能」。

應對手冊執行時,每個動作都會傳回資訊,包括:

  • 輸出訊息、表格、附件、連結、JSON
  • 指令碼結果 (僅在劇本本身中有效)

您可以在案件牆或案件頁面查看這項資訊。

瞭解動作的重要術語

以下是動作中的字詞清單:

  • 參數:輸入某種型別,包括文字、預留位置 (Google SecOps 變數) 或清單選項。
  • 預留位置:Google SecOps 變數,會在執行階段填入。如要進一步瞭解參數和預留位置,請參閱「使用運算式產生器」。
  • 擴充:收集實體的更多資訊和屬性。進一步瞭解如何 使用強化功能
  • 指令碼結果:Google SecOps 定義的動作傳回值。
  • JSON 結果:動作傳回的原始資料。
  • 運算式產生器:可操控 JSON 結果並擷取特定資料,以用於劇本動作。詳情請參閱「使用運算式產生器」。

新增動作

如要將動作新增至劇本,請按照下列步驟操作:

  1. 在「回應」>「劇本」頁面中,按一下「新增步驟」
  2. 在「步驟選取」分頁中,選取「動作」部分。
  3. 在「動作」部分,按一下整合名稱旁邊的 arrow_drop_down 「向下箭頭」,然後選取動作項目。在本範例中,請依序選取「電子郵件」>「傳送電子郵件」
  4. 將「傳送電子郵件」項目拖曳到「將步驟拖曳到這裡」
  5. 按兩下即可開啟側欄。側欄會顯示動作名稱和說明,以及最終動作結果 (由輸出名稱顯示)。在本程序中,假設您正在使用資料遺失防護 (DLP) 用途教戰手冊,並視需要設定欄位。
  6. 選擇要用於這本應對手冊的執行個體。詳情請參閱「支援多個執行個體」。
  7. 定義動作要執行的實體。
  8. 插入「實體 ID」預留位置,設定這項動作的電子郵件收件者。在本範例中,請新增實體 ID 預留位置。

新增預留位置

如要新增預留位置,請按照下列步驟操作:

  1. 在「收件者」欄位中,按一下預留位置圖示 ([ ])  
  2. 在「Placeholder Selection」(預留位置選取) 中,依序選取「Object」(物件) >「Entity.Property」(實體.屬性) >「Identifier」(ID)
  3. 按一下 [確定]
  4. 按一下 [儲存]。動作會儲存為「動作名稱_子動作名稱」

指派動作

在應對手冊設計工具中,您可以將動作或應對手冊區塊指派給特定使用者或 SOC 角色。指派對象會決定應對手冊執行作業中該步驟的結果。您也可以選擇加入有關必要行動的訊息,並啟用「回覆時間」倒數計時。當劇本流程到達該點時,計時器就會啟動。詳情請參閱「指派動作和劇本區塊」。

如要在劇本中指派動作,請按照下列步驟操作:

  1. 在劇本中按兩下所需動作。
  2. 在「動作類型」清單中,選取「手動」
  3. 在「指派給」清單中,選取使用者或 SOC 角色。
  4. 加入明確訊息,說明必要動作。您可以在這則訊息中插入預留位置,然後在使用者首頁的「待處理動作」小工具和「案件總覽」頁面上顯示。
  5. 選用:您可以啟用「回應時間」,為完成動作設定期限。如果未在期限內完成,動作就會失敗。如要管理這項結果,請在劇本中設定後續條件步驟,使用「如果上一個動作失敗」設定來控制流程。
  6. 按一下 [儲存]

應對手冊觸發後 (通常是透過擷取的快訊),系統會自動執行,直到達到「手動操作」層級為止。這項動作會暫停應對手冊,並顯示在首頁的「待處理動作」小工具和「案件總覽」中,使用者必須執行或略過這項動作,才能繼續流程。

為實體新增擴充功能

強化功能會收集實體的額外資料 (例如主機名稱、IP 位址和構件)。

在「案件」分頁中,按一下實體即可查看所有現有屬性。這些屬性也稱為「擴充參數」,可用於預留位置。如果實體缺少所需屬性,請使用動作執行擴充作業。詳細步驟如下:

  1. 在案件頂端列下方,按一下「人工判決」,開啟「人工判決」對話方塊。
  2. 依序選取「Google Workspace」>「Enrich Entities」,然後選取特定實體。在本範例中,請選取使用者「Javier」
  3. 按一下 [Execute] (執行)。綠色箭頭出現後,請關閉這個方塊。
  4. 在「實體的醒目顯示欄位」中,按一下實體「Javier」。系統會顯示新的「實體探索工具」頁面。
  5. 在「實體探索器」頁面中捲動,即可查看 Javier 的直屬主管。
  6. 返回主要案件頁面。所有擴充屬性現在都位於 Google SecOps 平台,並視為實體本身。舉例來說,現在可以選擇哈維爾的直屬主管做為實體。

建立新實體

分析師在建構劇本時,會選擇必要的實體。動作會對不同實體集執行。你也可以選擇新增實體集。

如要為單一劇本建立新實體,請按照下列步驟操作:

  1. 在「動作」欄中,選取「流程」>「實體選取」,然後拖曳至最後一個步驟。
  2. 按一下「實體選取」
  3. 選取必要的實體參數。在本範例中,請選取「Reports To entity」(向實體回報) (由於您稍早執行了擴充動作,系統現在會填入這項資訊)。
  4. 將值設為「Director」,然後按一下「儲存」
  5. 新的實體集會儲存為 Entity_Selection_1,並立即供這個劇本使用。如果您建立其他組合,系統會依序編號 (例如 Entity_Selection_2Entity_Selection_3)。

編輯及管理應對手冊步驟

  • 剪下、複製、刪除或貼上:在所需步驟上按一下滑鼠右鍵,即可存取「編輯」選單。您可以在目前的劇本中複製並貼上步驟,也可以貼到其他劇本。
  • 選取多個步驟:按住 Shift 鍵並按一下滑鼠左鍵,即可選取多個步驟。接著,在任何醒目顯示的步驟上按一下滑鼠右鍵,即可執行大量動作 (「剪下」、「複製」、「刪除」或「貼上」)。
  • 設定步驟:按兩下任一步驟,開啟設定。

重新執行動作

如果動作失敗導致應對手冊停止,您通常可以修正問題並繼續流程。發生這種情況時,請選取失敗的動作來查看錯誤訊息,修正任何錯誤輸入的參數,然後重新執行動作。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。