Usar acionadores em playbooks

Compatível com:

Um gatilho é definido durante a fase inicial de criação de um playbook. Ele especifica a instância em que um playbook precisa ser acionado em caso de detecção de um alerta. Para adicionar o gatilho a um playbook, arraste um dos gatilhos até a caixa Arraste um gatilho para cá na página Playbook.

Confira um resumo das opções de acionamento do playbook:

  • Todos: aciona o playbook para cada alerta gerado nesse ambiente.
  • Tipo de alerta: acionadores com base no campo Gerador de regras, que é configurado durante a configuração do conector. Para mais detalhes, consulte Configurar o conector.
  • Nome do produto: é acionado quando um alerta é originado de um produto (conector) específico.
  • Nome da tag: acionada se o Google Security Operations adicionou automaticamente uma tag durante a ingestão e o processamento. As tags podem ser gerenciadas em Configurações do SOAR > Dados do caso > Tags.
  • Valor do gatilho do alerta: aciona com base em um campo predefinido do conector. Recomendamos usar o gatilho personalizado.
  • Gatilho personalizado: permite definir marcadores de posição personalizados para correspondências altamente específicas. Por exemplo, if alert name INCLUDES 'malware activity'.
  • Lista personalizada: aciona com base em uma lista personalizada predefinida configurada nas suas configurações.
  • Nome da rede: acionado se um alerta envolver uma entidade em uma sub-rede definida nas suas configurações. Isso garante que o playbook seja executado para alertas dessas sub-redes específicas.

Adicionar um acionador a um playbook

  1. Crie um playbook. Para mais detalhes sobre playbooks, consulte Criar e editar um playbook com o Gemini.
  2. No menu Seleção de etapa, selecione Acionadores.
  3. Clique em Tipo de alerta e arraste para a primeira etapa do playbook. Para mais detalhes, consulte Usar um acionador de tipo de alerta em um playbook.
  4. Clique duas vezes nele para abrir uma nova caixa de diálogo Tipo de alerta.
  5. Em Parâmetros, selecione Igual, Contém ou Começa com.
  6. Selecione o parâmetro necessário. Neste caso de uso, escolha um tipo de alerta com base em qualquer alerta que contenha um detector de e-mails de phishing.
    Depois de especificar e salvar o parâmetro de acionamento, o nome dele aparece na descrição do acionador.
Agora você pode continuar criando o manual com ações. Para mais informações, consulte Gerenciar ações em playbooks.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.