在手冊中使用觸發條件

在建立應對手冊的初期階段，系統會定義觸發條件。指定在偵測到快訊時，應觸發應對手冊的執行個體。如要將觸發條件新增至應對手冊，請將其中一個觸發條件拖曳至「應對手冊」頁面中的「將觸發條件拖曳至此」方塊。

以下是應對手冊觸發條件選項的詳細說明：

• 所有：針對該環境中產生的每則警告觸發應對手冊。
• 快訊類型：根據「規則產生器」欄位觸發，該欄位是在設定連接器時設定。詳情請參閱「設定連接器」。
• 產品名稱：當快訊來自特定產品 (連接器) 時觸發。
• 標記名稱：如果 Google Security Operations 在擷取和處理期間自動新增標記，就會觸發這項規則。您可以在「SOAR 設定」>「案件資料」>「標記」下方管理標記。
• 警告觸發條件值：根據連接器中預先定義的欄位觸發。建議改用自訂觸發條件。
• 自訂觸發條件：可為高度精確的相符項目定義自訂預留位置。例如：if alert name INCLUDES 'malware activity'。
• 自訂清單：根據您在設定中預先定義的自訂清單觸發。
• 網路名稱：如果警報涉及設定中定義的子網路內實體，就會觸發警報。確保應對手冊會針對來自這些特定子網路的警告執行。

在應對手冊中新增觸發條件

1. 建立新的應對手冊。如要進一步瞭解教戰手冊，請參閱「使用 Gemini 建立及編輯教戰手冊」。
2. 在「步驟選取」選單中，選取「觸發條件」。
3. 按一下「快訊類型」，然後拖曳至劇本的第一步。(詳情請參閱「在劇本中使用快訊類型觸發條件」一文)。
4. 按兩下即可開啟新的「快訊類型」對話方塊。
5. 在「參數」下方，選取「等於」、「包含」或「開頭是」。
6. 選取所需參數。在這個用途中，請根據任何含有網路釣魚電子郵件偵測工具的警報，選擇警報類型。
   指定觸發條件參數並儲存後，參數名稱會顯示在觸發條件的說明中。