Usa activadores en los manuales

Compatible con:

Un activador se define durante la fase inicial de la creación de una guía. Especifica la instancia para la que se debe activar una guía en caso de detección de una alerta. Para agregar el activador a una guía, debes arrastrar uno de los activadores al cuadro Arrastra un activador aquí en la página Guía.

A continuación, se incluye un desglose de las opciones de activadores de la guía:

  • Todas: Activa la guía para cada alerta generada en ese entorno.
  • Tipo de alerta: Se activa según el campo Generador de reglas, que se configura durante la configuración del conector. Para obtener más información, consulta Cómo configurar el conector.
  • Nombre del producto: Se activa cuando una alerta se origina en un producto (conector) específico.
  • Nombre de la etiqueta: Se activa si Google Security Operations agregó automáticamente una etiqueta durante la transferencia y el procesamiento. Las etiquetas se pueden administrar en Configuración de SOAR > Datos del caso > Etiquetas.
  • Valor de activación de la alerta: Se activa en función de un campo predefinido del conector. En su lugar, te recomendamos que uses Custom Trigger.
  • Activador personalizado: Te permite definir marcadores de posición personalizados para coincidencias muy específicas. Por ejemplo, if alert name INCLUDES 'malware activity'
  • Lista personalizada: Se activa en función de una lista personalizada predefinida que se configura en tus parámetros.
  • Nombre de la red: Se activa si una alerta involucra una entidad dentro de una subred definida en tu configuración. Esto garantiza que la guía se ejecute para las alertas de esas subredes específicas.

Cómo agregar un activador a un playbook

  1. Crea una guía nueva. Para obtener más información sobre las guías, consulta Crea y edita una guía con Gemini.
  2. En el menú Selección de pasos, selecciona Activadores.
  3. Haz clic en Tipo de alerta y arrástralo al primer paso del manual. (Para obtener más información, consulta Cómo usar un activador de tipo de alerta en un playbook).
  4. Haz doble clic en él para abrir un nuevo diálogo de Tipo de alerta.
  5. En Parámetros, selecciona Igual, Contiene o Comienza con.
  6. Selecciona el parámetro requerido. En este caso de uso, elige un tipo de alerta basado en cualquier alerta que contenga un detector de correos electrónicos de phishing.
    Una vez que especifiques el parámetro del activador y lo guardes, el nombre del parámetro aparecerá en la descripción del activador.
Ahora puedes seguir creando el manual con acciones. Para obtener más información, consulta Administra acciones en guías.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.