在 playbook 中使用触发器

触发器是在创建剧本的初始阶段定义的。它指定了在检测到提醒时必须触发 playbook 的实例。如需将触发器添加到 playbook，您必须将其中一个触发器拖动到 Playbook 页面上的将触发器拖动到此处框中。

以下是 playbook 触发选项的细分：

• 所有：针对相应环境中生成的每个提醒触发 playbook。
• 提醒类型：根据连接器设置期间配置的规则生成器字段触发。如需了解详情，请参阅配置连接器。
• 产品名称：当提醒源自特定产品（连接器）时触发。
• 标记名称：如果 Google Security Operations 在提取和处理期间自动添加了标记，则触发。您可以在 SOAR 设置 > 案例数据 > 标记下管理标记。
• 提醒触发值：根据连接器中的预定义字段触发。建议改用自定义触发器。
• 自定义触发器：可让您定义自定义占位符，以实现高度精准的匹配。例如 if alert name INCLUDES 'malware activity'。
• 自定义列表：根据您在设置中配置的预定义自定义列表触发。
• 网络名称：如果提醒涉及设置中定义的子网内的实体，则触发。这可确保针对来自这些特定子网的提醒运行 playbook。

向 Playbook 添加触发器

1. 创建新的 playbook。如需详细了解 playbook，请参阅使用 Gemini 创建和修改 playbook。
2. 在步骤选择菜单中，选择触发器。
3. 点击提醒类型，然后将其拖动到 playbook 中的第一步。（如需了解详情，请参阅在剧本中使用“提醒类型”触发器）。
4. 双击该提醒类型，打开新的提醒类型对话框。
5. 在参数下，选择等于、包含或开头为。
6. 选择所需的参数。在此使用情形下，请选择包含钓鱼式攻击电子邮件检测器的任何提醒所对应的提醒类型。
   指定触发器参数并保存后，参数名称会显示在触发器的说明中。