Trigger in Playbooks verwenden

Unterstützt in:

Ein Trigger wird in der Anfangsphase der Erstellung eines Playbooks definiert. Sie gibt die Instanz an, für die ein Playbook im Falle einer Benachrichtigung ausgelöst werden muss. Wenn Sie den Trigger einem Playbook hinzufügen möchten, müssen Sie einen der Trigger auf der Seite Playbook in das Feld Drag a Trigger over here (Trigger hierher ziehen) ziehen.

Hier finden Sie eine Übersicht über die Optionen für Playbook-Auslöser:

  • Alle: Das Playbook wird für jede einzelne Benachrichtigung ausgelöst, die in dieser Umgebung generiert wird.
  • Benachrichtigungstyp: Trigger basierend auf dem Feld Regelgenerator, das bei der Einrichtung des Connectors konfiguriert wird. Weitere Informationen finden Sie unter Connector konfigurieren.
  • Produktname: Wird ausgelöst, wenn eine Benachrichtigung von einem bestimmten Produkt (Connector) stammt.
  • Tag Name (Tag-Name): Wird ausgelöst, wenn Google Security Operations während der Aufnahme und Verarbeitung automatisch ein Tag hinzugefügt hat. Tags können unter SOAR-Einstellungen > Falldaten > Tags verwaltet werden.
  • Wert für Benachrichtigungstrigger: Trigger basierend auf einem vordefinierten Feld aus dem Connector. Wir empfehlen stattdessen die Verwendung von benutzerdefinierten Triggern.
  • Benutzerdefinierter Trigger: Hier können Sie benutzerdefinierte Platzhalter für sehr spezifische Übereinstimmungen definieren. Beispiel: if alert name INCLUDES 'malware activity'.
  • Benutzerdefinierte Liste: Trigger basierend auf einer vordefinierten benutzerdefinierten Liste, die in Ihren Einstellungen konfiguriert ist.
  • Netzwerkname: Wird ausgelöst, wenn eine Benachrichtigung eine Einheit in einem Subnetz betrifft, das in Ihren Einstellungen definiert ist. Dadurch wird das Playbook für Benachrichtigungen aus diesen bestimmten Subnetzen ausgeführt.

Playbook einen Trigger hinzufügen

  1. Neues Playbook erstellen Weitere Informationen zu Playbooks finden Sie unter Playbook mit Gemini erstellen und bearbeiten.
  2. Wählen Sie im Menü Schrittauswahl die Option Trigger aus.
  3. Klicken Sie auf Benachrichtigungstyp und ziehen Sie das Element in den ersten Schritt des Playbooks. Weitere Informationen finden Sie unter Trigger vom Typ „Benachrichtigungstyp“ in einem Playbook verwenden.
  4. Doppelklicken Sie darauf, um das Dialogfeld Benachrichtigungstyp zu öffnen.
  5. Wählen Sie unter Parameter die Option Gleich, Enthält oder Beginnt mit aus.
  6. Wählen Sie den erforderlichen Parameter aus. Wählen Sie in diesem Anwendungsfall einen Benachrichtigungstyp aus, der einen Phishing-E‑Mail-Detektor enthält.
    Nachdem Sie den Triggerparameter angegeben und gespeichert haben, wird der Parametername in der Beschreibung des Triggers angezeigt.
Sie können das Playbook jetzt mit Aktionen weiter erstellen. Weitere Informationen finden Sie unter Aktionen in Playbooks verwalten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten