ハンドブックでトリガーを使用する

トリガーは、ハンドブックの作成の開始フェーズで定義されます。アラートが検出された場合にハンドブックをトリガーする必要があるインスタンスを指定します。トリガーをハンドブックに追加するには、[ハンドブック] ページで、トリガーのいずれかを [ここにトリガーをドラッグ] ボックスにドラッグする必要があります。

ハンドブックのトリガー オプションの詳細は次のとおりです。

• すべて: その環境内で生成されたすべてのアラートに対してハンドブックをトリガーします。
• アラートの種類: コネクタの設定時に構成される [ルール ジェネレータ] フィールドに基づいてトリガーされます。詳細については、コネクタを構成するをご覧ください。
• サービス名: 特定のサービス（コネクタ）からアラートが発生したときにトリガーされます。
• タグ名: 取り込みと処理の際に Google Security Operations がタグを自動的に追加した場合にトリガーされます。タグは、[SOAR Settings] > [Case Data] > [Tags] で管理できます。
• アラート トリガー値: コネクタの事前定義されたフィールドに基づいてトリガーします。代わりにカスタム トリガーを使用することをおすすめします。
• カスタム トリガー: 非常に具体的な一致に対してカスタムのプレースホルダを定義できます。例: if alert name INCLUDES 'malware activity'
• カスタム リスト: 設定で構成された事前定義のカスタム リストに基づくトリガー。
• ネットワーク名: アラートに設定で定義されたサブネット内のエンティティが含まれている場合にトリガーされます。これにより、これらの特定のサブネットからのアラートに対してハンドブックが実行されます。

ハンドブックにトリガーを追加する

1. 新しいハンドブックを作成します。ハンドブックの詳細については、Gemini でハンドブックを作成、編集するをご覧ください。
2. [ステップの選択] メニューで、[トリガー] を選択します。
3. [アラートタイプ] をクリックして、ハンドブックの最初のステップにドラッグします。（詳しくは、ハンドブックでアラートタイプ トリガーを使用するをご覧ください）。
4. ダブルクリックして、新しい [アラートの種類] ダイアログを開きます。
5. [パラメータ] で、[等しい]、[含む]、[次から始まる] のいずれかを選択します。
6. 必要なパラメータを選択します。このユースケースでは、フィッシング メール検出器を含むアラートに基づいてアラートタイプを選択します。
   トリガー パラメータを指定して保存すると、パラメータ名がトリガーの説明に表示されます。