Attribuer des liens d'approbation dans les actions

Utilisez les liens d'approbation pour envoyer aux utilisateurs en dehors de la plate-forme les actions manuelles en attente d'une saisie de leur part (actions en attente). Par exemple, si vous travaillez avec un utilisateur final qui n'a pas accès à Google Security Operations, vous pouvez lui envoyer le lien d'approbation par e-mail. Il pourra alors approuver ou refuser l'action où qu'il soit (comme avec le widget Actions en attente ou l'onglet Actions en attente dans Votre bureau).

En tant que fournisseur de services de sécurité gérés (MSSP), vous souhaitez mettre en quarantaine un ordinateur infecté sur le site de votre client final, mais vous voulez que le responsable informatique de l'entreprise du client final approuve d'abord cette action. Pour envoyer cette demande d'approbation ou de refus de l'action au responsable informatique par e-mail, vous devez attribuer un lien d'approbation à l'action.

Attribuer un lien d'approbation dans une action

Ce cas d'utilisation décrit comment un MSSP peut créer un playbook basé sur une alerte de phishing suspecte.

1. Dans le playbook que vous créez, sélectionnez l'action Mettre l'appareil en quarantaine Carbon Black. Il s'agit de l'action que vous souhaitez que l'utilisateur final approuve. 
2. Définissez le Type d'action sur Manuel. Le bouton bascule Lien d'approbation s'affiche.
3. Activez l'option Lien d'approbation. Cela crée automatiquement des espaces réservés (avec des liens permettant d'approuver ou de refuser la mise en quarantaine de l'appareil) qui peuvent ensuite être utilisés dans n'importe quelle action précédant celle-ci dans le playbook.
   Vous pouvez attribuer l'action manuelle à un utilisateur ou à un rôle SOC spécifique, ou la laisser vide.
4. Vous pouvez éventuellement activer le bouton Délai de réponse en même temps que le bouton Lien d'approbation. Cela spécifie un délai précis dans lequel l'utilisateur final (ou toute personne sur la plate-forme) doit répondre à l'e-mail en cliquant sur l'un des liens.
5. Faites glisser une action Envoyer un e-mail directement avant l'action Mettre en quarantaine l'appareil Carbon Black dans le playbook.
6. Dans l'action Envoyer un e-mail, saisissez l'adresse e-mail du destinataire.
7. Dans le corps de l'e-mail, cliquez sur l'espace réservé data_array , puis sur les liens Approuver et Refuser pour les placer dans le message.
8. Assurez-vous d'avoir rédigé un e-mail avant d'ajouter les espaces réservés.
   Conseil de pro : Entourez la phrase de liens HTML pour que le lien d'approbation s'affiche sous forme de lien hypertexte.
9. Enregistrez votre playbook.

Une fois votre playbook enregistré, une alerte entrante correspondant au déclencheur lance l'exécution. Lorsque le flux atteint l'étape Envoyer un e-mail, un e-mail contenant les liens d'action Approuver et Refuser est envoyé au destinataire.

Ces liens d'approbation sont entièrement portables. Vous pouvez les utiliser à différents endroits, par exemple dans un widget HTML dans une vue de playbook personnalisée, dans une action Envoyer à Slack ou dans une action Envoyer un SMS avec Twilio.