Utilizzare i trigger nelle guide strategiche

Supportato in:

Un trigger viene definito durante la fase iniziale di creazione di un playbook. Specifica l'istanza per cui deve essere attivato un playbook in caso di rilevamento di un avviso. Per aggiungere l'attivatore a un playbook, devi trascinare uno degli attivatori nella casella Trascina un attivatore qui nella pagina Playbook.

Ecco una panoramica delle opzioni di trigger del playbook:

  • Tutti: attiva il playbook per ogni singolo avviso generato all'interno di quell'ambiente.
  • Tipo di avviso: i trigger si basano sul campo Generatore di regole, che viene configurato durante l'impostazione del connettore. Per maggiori dettagli, vedi Configurare il connettore.
  • Nome prodotto: viene attivato quando un avviso ha origine da un prodotto (connettore) specifico.
  • Nome tag: si attiva se Google Security Operations ha aggiunto automaticamente un tag durante l'importazione e l'elaborazione. I tag possono essere gestiti in Impostazioni SOAR > Dati caso > Tag.
  • Valore del trigger degli avvisi: trigger basati su un campo predefinito del connettore. Ti consigliamo di utilizzare invece il trigger personalizzato.
  • Trigger personalizzato: consente di definire segnaposto personalizzati per corrispondenze molto specifiche. Ad esempio, if alert name INCLUDES 'malware activity'.
  • Elenco personalizzato: attivatori basati su un elenco personalizzato predefinito configurato nelle impostazioni.
  • Nome rete: viene attivato se un avviso riguarda un'entità all'interno di una subnet definita nelle impostazioni. In questo modo, il playbook viene eseguito per gli avvisi provenienti da queste subnet specifiche.

Aggiungere un trigger a un playbook

  1. Crea un nuovo playbook. Per maggiori dettagli sui playbook, vedi Creare e modificare un playbook con Gemini.
  2. Nel menu Selezione passaggio, seleziona Trigger.
  3. Fai clic su Tipo di avviso e trascinalo al primo passaggio del playbook. Per maggiori dettagli, vedi Utilizzare un trigger di tipo avviso in un playbook.
  4. Fai doppio clic per aprire una nuova finestra di dialogo Tipo di avviso.
  5. Nella sezione Parametri, seleziona Uguale a, Contiene o Inizia con.
  6. Seleziona il parametro richiesto. In questo caso d'uso, scegli un tipo di avviso in base a qualsiasi avviso che contenga un rilevatore di email di phishing.
    Una volta specificato il parametro dell'attivatore e salvato, il nome del parametro viene visualizzato nella descrizione dell'attivatore.
Ora puoi continuare a creare il playbook con le azioni. Per saperne di più, consulta Gestire le azioni nei playbook.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.