Menggunakan pemicu dalam playbook

Didukung di:

Pemicu ditentukan selama fase awal pembuatan playbook. Tindakan ini menentukan instance yang playbook-nya harus dipicu jika terjadi deteksi pemberitahuan. Untuk menambahkan pemicu ke playbook, Anda harus menarik salah satu pemicu ke kotak Tarik Pemicu ke sini di halaman Playbook.

Berikut perincian opsi pemicu playbook:

  • Semua: Memicu playbook untuk setiap pemberitahuan yang dihasilkan dalam lingkungan tersebut.
  • Jenis Pemberitahuan: Dipicu berdasarkan kolom Pembuat Aturan, yang dikonfigurasi selama penyiapan konektor. Untuk mengetahui detailnya, lihat Mengonfigurasi konektor.
  • Nama Produk: Dipicu saat pemberitahuan berasal dari produk (konektor) tertentu.
  • Nama Tag: Dipicu jika Google Security Operations otomatis menambahkan tag selama penyerapan dan pemrosesan. Tag dapat dikelola di bagian Setelan SOAR > Data Kasus > Tag.
  • Nilai Pemicu Pemberitahuan: Dipicu berdasarkan kolom yang telah ditentukan sebelumnya dari konektor. Sebaiknya gunakan Pemicu Kustom.
  • Pemicu Kustom: Memungkinkan Anda menentukan placeholder kustom untuk kecocokan yang sangat spesifik. Contoh, if alert name INCLUDES 'malware activity'.
  • Daftar Kustom: Pemicu berdasarkan daftar kustom bawaan yang dikonfigurasi di setelan Anda.
  • Nama Jaringan: Dipicu jika pemberitahuan melibatkan entity dalam subnet yang ditentukan di setelan Anda. Tindakan ini memastikan playbook berjalan untuk pemberitahuan dari subnet tertentu tersebut.

Menambahkan pemicu ke playbook

  1. Buat playbook baru. Untuk mengetahui detail tentang playbook, lihat Membuat dan mengedit playbook dengan Gemini.
  2. Di menu Pemilihan Langkah, pilih Pemicu.
  3. Klik Jenis Pemberitahuan, lalu tarik ke langkah pertama dalam playbook. (Untuk mengetahui detailnya, lihat Menggunakan pemicu Jenis Notifikasi dalam playbook).
  4. Klik dua kali untuk membuka dialog Jenis Pemberitahuan baru.
  5. Di bagian Parameter, pilih Sama dengan, Berisi, atau Mulai Dengan.
  6. Pilih parameter yang diperlukan. Dalam kasus penggunaan ini, pilih jenis pemberitahuan berdasarkan pemberitahuan apa pun yang berisi detektor email phishing.
    Setelah Anda menentukan parameter pemicu dan menyimpannya, nama parameter akan muncul dalam deskripsi pemicu.
Sekarang Anda dapat melanjutkan pembuatan playbook dengan tindakan. Untuk mengetahui informasi selengkapnya, lihat Mengelola tindakan dalam playbook.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.