Explorer la page "Playbooks"
Compatible avec :
Google SecOps
SOAR
Un playbook repose sur des déclencheurs, des actions et des flux qui fonctionnent ensemble pour automatiser la réponse aux incidents et d'autres tâches liées aux opérations de sécurité. Lorsqu'un déclencheur lance un playbook, il exécute une série d'actions définies pour atteindre une résolution spécifique.
L'exécution d'un playbook suit une progression organisée :
- Déclencheur (boîte jaune) : il s'agit du premier composant obligatoire qui lance le playbook. Elle définit les conditions ou les événements qui déclenchent l'exécution du playbook.
- Actions (encadré bleu) : après le déclencheur, le playbook passe à un ensemble d'actions définies qu'il doit effectuer. Il s'agit des tâches ou opérations spécifiques exécutées par le playbook, comme l'enrichissement des données, la notification des utilisateurs ou l'isolement d'un hôte compromis.
- Flux (encadré violet) : le dernier composant consiste à déterminer le flux du playbook, généralement à l'aide de conditions "if-then-else". Cette méthode permet au playbook de prendre des décisions en fonction des résultats des actions précédentes et de se ramifier en différents chemins pour atteindre une résolution finale.
Ouvrir la page "Playbooks"
Pour ouvrir la page Playbooks, accédez à Réponse > Playbooks.
Les actions suivantes sont disponibles :
-
Plus
: ajoutez un playbook ou un bloc. Sélectionnez le dossier et l'environnement pour votre nouveau playbook ou bloc. Vous pouvez sélectionner un ou plusieurs environnements, groupes d'environnements ou une combinaison des deux. Si un playbook est associé à un groupe d'environnements spécifique, sa portée est automatiquement mise à jour si celle du groupe d'environnements change.
-
Modifier
: sélectionnez un ou plusieurs playbooks et blocs à utiliser avec le menu Actions. Pour renommer un dossier, cliquez sur Modifier, pointez sur le nom du dossier, puis saisissez le nouveau nom. Une fois que vous avez modifié un playbook, vous pouvez le supprimer si nécessaire.
-
Filtrer
: cliquez sur
filter_alt
Filtrer, puis filtrez l'affichage en fonction des critères suivants : - Bouton Le simulateur de playbook est activé
- Bouton Afficher les playbooks actifs
- Priorité : définissez l'ordre des pièces jointes des playbooks pour l'alerte. Un seul playbook est associé automatiquement, en fonction de la priorité.
- Environnements : option de sélection multiple pour les environnements et les groupes d'environnements.
- Menu
: cliquez sur
edit
Modifier, puis sélectionnez les playbooks ou les blocs requis avant d'utiliser Menu pour effectuer des actions groupées : - Nouveau dossier : ajoutez un dossier de playbooks. Le playbook hérite automatiquement de toutes les modifications apportées à ses groupes d'environnements associés. Vous pouvez appliquer des playbooks associés à des groupes d'environnements aux demandes provenant de n'importe quel environnement de ces groupes.
- Dupliquer : créez un playbook en double avec les options suivantes :
- Conserver ou modifier la priorité
- Conserver dans le même dossier ou déplacer vers un autre dossier
- Single (un seul), multiple (plusieurs) ou all (tous) les environnements, où all indique tous les environnements définis, présents ou futurs.
- Exporter et importer : transférez des playbooks et des blocs de playbook entre les serveurs de production et de préparation. Les playbooks sont exportés ou importés avec leurs vues personnalisées incluses. Le système n'accepte que les fichiers ZIP pour l'importation.
- Déplacer vers : déplacez les playbooks et les blocs vers un autre dossier, ou créez-en un.
- Supprimer : supprimez des playbooks et des blocs. Après avoir cliqué sur Modifier, vous pouvez supprimer des playbooks.
Section supérieure du Créateur de playbook
La section supérieure du Créateur de playbook fournit un aperçu complet et des commandes essentielles pour votre playbook. Vous y trouverez les fonctionnalités suivantes :
- Bouton bascule horizontal permettant d'activer ou de désactiver le playbook, pour une activation ou une désactivation rapide.
- Résumé concis détaillant le nom du playbook, son créateur, son horodatage de création et l'environnement associé, ainsi qu'une brève description.
- Activez le simulateur pour effectuer des tests et ajouter une vue personnalisée afin d'améliorer la visibilité.
Les fonctionnalités du concepteur de playbooks vous permettent d'effectuer les actions suivantes :
| Icône | Description |
|---|---|
 Ouvrir la sélection d'étape |
Ouvre un panneau latéral avec les déclencheurs, les actions, le flux et les blocs disponibles. |
 Adapter à l'écran |
Ajuste automatiquement le playbook pour qu'il s'affiche entièrement à l'écran. |
 Réorganiser |
Rétablit la disposition par défaut du playbook. |
 Zoom |
Effectue un zoom avant sur une ou plusieurs étapes du playbook. |
 Télécharger |
Télécharge le playbook au format PNG. |
 Annuler |
Annule toutes les modifications que vous avez apportées. |
 Répéter |
Rétablit les modifications que vous avez annulées précédemment. |
 Suivi du playbook |
Affiche les statistiques individuelles du playbook. |
 Navigateur de playbook |
Affiche toutes les actions et tous les flux du playbook. |
Pour en savoir plus sur la page Playbooks et sur la façon de collaborer avec elle, consultez les ressources suivantes :
- Définir des vues d'alertes personnalisées à partir du Créateur de playbook
- Utiliser le simulateur de playbook
- Comprendre la surveillance des playbooks
- Utiliser le navigateur du playbook
Légende des icônes de playbook
Les icônes suivantes s'affichent dans l'onglet Requêtes > Playbooks lorsqu'un playbook est associé.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.