Usar activadores en guías

Disponible en:

Un activador se define durante la fase inicial de creación de una guía. Especifica la instancia en la que se debe activar una guía en caso de que se detecte una alerta. Para añadir el activador a una guía, debes arrastrar uno de los activadores al cuadro Arrastra un activador aquí de la página Guía.

Aquí tienes un desglose de las opciones de activadores de guías:

  • Todas: activa la guía para cada alerta generada en ese entorno.
  • Tipo de alerta: se activa en función del campo Generador de reglas, que se configura durante la configuración del conector. Para obtener más información, consulta Configurar el conector.
  • Nombre del producto: se activa cuando una alerta procede de un producto (conector) específico.
  • Nombre de la etiqueta: se activa si Google Security Operations ha añadido automáticamente una etiqueta durante la ingestión y el procesamiento. Las etiquetas se pueden gestionar en Configuración de SOAR > Datos del caso > Etiquetas.
  • Valor de activación de la alerta: se activa en función de un campo predefinido del conector. En su lugar, te recomendamos que utilices Activador personalizado.
  • Activador personalizado: te permite definir marcadores de posición personalizados para coincidencias muy específicas. Por ejemplo, if alert name INCLUDES 'malware activity'.
  • Lista personalizada: se activa en función de una lista personalizada predefinida configurada en los ajustes.
  • Nombre de la red: se activa si una alerta implica una entidad dentro de una subred definida en su configuración. De esta forma, la guía se ejecutará en las alertas de esas subredes específicas.

Añadir un activador a un manual de procedimientos

  1. Crea una guía. Para obtener más información sobre las guías, consulta el artículo Crear y editar una guía con Gemini.
  2. En el menú Selección de paso, selecciona Activadores.
  3. Haz clic en Tipo de alerta y arrástralo al primer paso del manual de procedimientos. Para obtener más información, consulta Usar un activador de tipo de alerta en un libro de jugadas.
  4. Haz doble clic en él para abrir un nuevo cuadro de diálogo Tipo de alerta.
  5. En Parámetros, seleccione Igual, Contiene o Empieza por.
  6. Seleccione el parámetro que quiera. En este caso práctico, elige un tipo de alerta basado en cualquier alerta que contenga un detector de correos de phishing.
    Una vez que especifiques el parámetro del activador y lo guardes, el nombre del parámetro aparecerá en la descripción del activador.
Ahora puedes seguir creando la guía con acciones. Para obtener más información, consulta Gestionar acciones en cuadernos de estrategias.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.