Utiliser des déclencheurs dans les playbooks

Compatible avec :

Un déclencheur est défini au début de la création d'un playbook. Il spécifie l'instance pour laquelle un playbook doit être déclenché en cas de détection d'une alerte. Pour ajouter le déclencheur à un playbook, vous devez faire glisser l'un des déclencheurs vers la zone Faites glisser un déclencheur ici sur la page Playbook.

Voici les options de déclencheur de playbook :

  • Toutes : le playbook est déclenché pour chaque alerte générée dans cet environnement.
  • Type d'alerte : déclencheurs basés sur le champ Générateur de règles, qui est configuré lors de la configuration du connecteur. Pour en savoir plus, consultez Configurer le connecteur.
  • Nom du produit : se déclenche lorsqu'une alerte provient d'un produit (connecteur) spécifique.
  • Nom de la balise : déclencheur si Google Security Operations a automatiquement ajouté une balise lors de l'ingestion et du traitement. Vous pouvez gérer les tags sous Paramètres SOAR> Données sur les demandes > Tags.
  • Valeur du déclencheur d'alerte : déclencheurs basés sur un champ prédéfini du connecteur. Nous vous recommandons d'utiliser plutôt Déclencheur personnalisé.
  • Déclencheur personnalisé : vous permet de définir des espaces réservés personnalisés pour des correspondances très spécifiques. Exemple :if alert name INCLUDES 'malware activity'
  • Liste personnalisée : déclencheurs basés sur une liste personnalisée prédéfinie configurée dans vos paramètres.
  • Nom du réseau : déclenche une alerte si elle concerne une entité d'un sous-réseau défini dans vos paramètres. Cela garantit que le playbook s'exécute pour les alertes provenant de ces sous-réseaux spécifiques.

Ajouter un déclencheur à un playbook

  1. Créez un playbook. Pour en savoir plus sur les playbooks, consultez Créer et modifier un playbook avec Gemini.
  2. Dans le menu Sélection d'étape, sélectionnez Déclencheurs.
  3. Cliquez sur Type d'alerte et faites-le glisser vers la première étape du playbook. (Pour en savoir plus, consultez Utiliser un déclencheur de type "Alerte" dans un playbook.)
  4. Double-cliquez dessus pour ouvrir une nouvelle boîte de dialogue Type d'alerte.
  5. Sous Paramètres, sélectionnez Égal à, Contient ou Commence par.
  6. Sélectionnez le paramètre requis. Dans ce cas d'utilisation, choisissez un type d'alerte basé sur une alerte contenant un détecteur d'e-mails de phishing.
    Une fois que vous avez spécifié le paramètre de déclencheur et que vous l'avez enregistré, son nom apparaît dans la description du déclencheur.
Vous pouvez maintenant continuer à créer le playbook avec des actions. Pour en savoir plus, consultez Gérer les actions dans les playbooks.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.