Use acionadores em manuais de procedimentos

Compatível com:

Um acionador é definido durante a fase inicial da criação de um playbook. Especifica a instância para a qual um manual de procedimentos tem de ser acionado em caso de deteção de um alerta. Para adicionar o acionador a um guião de execução, tem de arrastar um dos acionadores para a caixa Arraste um acionador para aqui na página Guião de execução.

Segue-se uma análise detalhada das opções de acionadores do manual de estratégias:

  • Tudo: aciona o guia interativo para todos os alertas gerados nesse ambiente.
  • Tipo de alerta: aciona-se com base no campo Gerador de regras, que é configurado durante a configuração do conetor. Para ver detalhes, consulte o artigo Configure o conetor.
  • Nome do produto: é acionado quando um alerta tem origem num produto específico (conetor).
  • Nome da etiqueta: aciona se o Google Security Operations tiver adicionado automaticamente uma etiqueta durante o carregamento e o processamento. As etiquetas podem ser geridas em Definições de SOAR > Dados de registos > Etiquetas.
  • Valor do acionador de alerta: aciona com base num campo predefinido do conector. Em alternativa, recomendamos que use o Custom Trigger.
  • Acionador personalizado: permite-lhe definir marcadores de posição personalizados para correspondências altamente específicas. Por exemplo, if alert name INCLUDES 'malware activity'.
  • Lista personalizada: acionadores com base numa lista personalizada predefinida configurada nas suas definições.
  • Nome da rede: é acionado se um alerta envolver uma entidade numa sub-rede definida nas suas definições. Isto garante que o manual de soluções é executado para alertas dessas sub-redes específicas.

Adicione um acionador a um guia interativo

  1. Crie um novo manual. Para ver detalhes sobre os playbooks, consulte o artigo Crie e edite um playbook com o Gemini.
  2. No menu Seleção de passos, selecione Acionadores.
  3. Clique em Tipo de alerta e arraste-o para o primeiro passo do manual de soluções. (Para ver detalhes, consulte o artigo Use um acionador do tipo de alerta num plano de ação).
  4. Clique duas vezes para abrir uma nova caixa de diálogo Tipo de alerta.
  5. Em Parâmetros, selecione Igual a, Contém ou Começa com.
  6. Selecione o parâmetro necessário. Neste exemplo de utilização, escolha um tipo de alerta com base em qualquer alerta que contenha um detetor de emails de phishing.
    Depois de especificar o parâmetro do acionador e guardá-lo, o nome do parâmetro aparece na descrição do acionador.
Já pode continuar a criar o manual de estratégias com ações. Para mais informações, consulte o artigo Faça a gestão das ações em manuais de soluções.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.