플레이북에서 트리거 사용

다음에서 지원:

트리거는 플레이북 생성의 시작 단계에서 정의됩니다. 알림 감지 시 플레이북을 트리거해야 하는 인스턴스를 지정합니다. 트리거를 플레이북에 추가하려면 트리거 중 하나를 플레이북 > 페이지의 여기에 트리거를 드래그하세요 상자로 드래그해야 합니다.

플레이북 트리거 옵션은 다음과 같습니다.

  • 모두: 해당 환경 내에서 생성된 모든 알림에 대해 플레이북을 트리거합니다.
  • 알림 유형: 커넥터 설정 중에 구성되는 규칙 생성기 필드를 기반으로 트리거됩니다. 자세한 내용은 커넥터 구성을 참고하세요.
  • 제품 이름: 특정 제품 (커넥터)에서 알림이 발생할 때 트리거됩니다.
  • 태그 이름: 수집 및 처리 중에 Google Security Operations에서 태그를 자동으로 추가한 경우 트리거됩니다. 태그는 SOAR 설정 > 케이스 데이터 > 태그에서 관리할 수 있습니다.
  • 알림 트리거 값: 커넥터의 사전 정의된 필드를 기반으로 트리거됩니다. 맞춤 트리거를 사용하는 것이 좋습니다.
  • 맞춤 트리거: 매우 구체적인 일치 항목에 대한 맞춤 자리표시자를 정의할 수 있습니다. 예를 들면 if alert name INCLUDES 'malware activity'입니다.
  • 맞춤 목록: 설정에 구성된 사전 정의된 맞춤 목록을 기반으로 트리거됩니다.
  • 네트워크 이름: 설정에 정의된 서브넷 내의 엔티티와 관련된 알림이 있는 경우 트리거됩니다. 이렇게 하면 해당 특정 서브넷의 알림에 대해 플레이북이 실행됩니다.

플레이북에 트리거 추가

  1. 새 플레이북을 만듭니다. 플레이북에 대한 자세한 내용은 Gemini로 플레이북 만들기 및 수정하기를 참고하세요.
  2. 단계 선택 메뉴에서 트리거를 선택합니다.
  3. 알림 유형을 클릭하고 플레이북의 첫 번째 단계로 드래그합니다. 자세한 내용은 플레이북에서 알림 유형 트리거 사용을 참고하세요.
  4. 더블클릭하여 새 알림 유형 대화상자를 엽니다.
  5. 매개변수에서 같음, 포함 또는 다음으로 시작을 선택합니다.
  6. 필요한 매개변수를 선택합니다. 이 사용 사례에서는 피싱 이메일 감지기가 포함된 알림을 기반으로 알림 유형을 선택합니다.
    트리거 매개변수를 지정하고 저장하면 매개변수 이름이 트리거 설명에 표시됩니다.
이제 작업으로 플레이북을 계속 빌드할 수 있습니다. 자세한 내용은 플레이북에서 작업 관리하기를 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.