Du kan det här: någon släpper en ”konstig” länk i chatten, du öppnar några verktyg, klistrar in URL:en lite överallt och hoppas att du inte missade något uppenbart. Det går långsamt. Än värre: det är inkonsekvent, vilket gör att nästa person måste kontrollera samma länk igen eftersom det saknas en tydlig logg.
Den här Cortex Slack triage-automationen träffar SecOps-analytiker först, men IT-chefer och grundare som har ”säkerhetsjour” känner av den lika mycket. I stället för ad hoc-kontroller får du samma analys varje gång, plus ett tydligt resultat du kan lämna över utan ett möte.
Du sätter upp ett n8n-flöde som skickar in en URL till Cortex för analys, väntar på jobbet och postar sedan slutomdömet till Slack så att teamet kan agera snabbt.
Så fungerar automationen
Här är hela flödet du kommer att sätta upp:
n8n Workflow Template: Cortex + Slack: enhetlig triagering av misstänkta länkar
flowchart LR
subgraph sg0["Manual Run Flow"]
direction LR
n0@{ icon: "mdi:play-circle", form: "rounded", label: "Manual Run Trigger", pos: "b", h: 48 }
n1["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/cortex.svg' width='40' height='40' /></div><br/>Cortex URL Analyzer"]
n2["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/cortex.svg' width='40' height='40' /></div><br/>Cortex Job Fetch"]
n1 --> n2
n0 --> n1
end
%% Styling
classDef trigger fill:#e8f5e9,stroke:#388e3c,stroke-width:2px
classDef ai fill:#e3f2fd,stroke:#1976d2,stroke-width:2px
classDef aiModel fill:#e8eaf6,stroke:#3f51b5,stroke-width:2px
classDef decision fill:#fff8e1,stroke:#f9a825,stroke-width:2px
classDef database fill:#fce4ec,stroke:#c2185b,stroke-width:2px
classDef api fill:#fff3e0,stroke:#e65100,stroke-width:2px
classDef code fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
classDef disabled stroke-dasharray: 5 5,opacity: 0.5
class n0 trigger
classDef customIcon fill:none,stroke:none
class n1,n2 customIcon
Varför det här är viktigt: misstänkta länkar väntar inte
Misstänkta länkar dyker upp vid sämsta möjliga tillfällen. En säljare vidarebefordrar ett ”DocuSign”-mejl. En kund skickar en förkortad URL. Någon klistrar in en länk i Slack och frågar: ”Är den här säker?” Om din respons beror på vem som är online, vilka verktyg de råkar minnas eller hur noggrann de känner sig den dagen, får du ojämna beslut och röriga överlämningar. En person tar en skärmdump av ett resultat, en annan skriver ”ser ok ut” utan bevis, och en tredje kör samma skanning igen eftersom de inte litar på de två första.
Friktionen byggs på. Och den brukar dyka upp när du minst har råd med den.
- Manuella länkkontroller drar dig från verkligt incidentarbete och skapar ständiga kontextbyten.
- Resultaten hamnar utspridda i webbläsarflikar och chatttrådar, så ingen kan granska vad som hände i efterhand.
- Olika analytiker använder olika källor, vilket gör att du får olika ”omdömen” för samma URL.
- Överlämningar tar längre tid eftersom underlaget saknas, är ofullständigt eller är svårt att tolka snabbt.
Vad du bygger: Cortex-analys postad till Slack
Det här flödet ger dig ett repeterbart sätt att analysera misstänkta URL:er och dela utfallet där teamet redan jobbar. Det startar när du kör flödet i n8n (perfekt för en ”triage desk”-process, eller för team som vill ha en kontrollerad körknapp). n8n skickar in URL:en till Cortex via noden Cortex URL Analyzer, som startar ett analysjobb. Cortex gör jobbet i bakgrunden, så n8n följer upp med en andra Cortex-nod för att hämta jobbresultaten. Sedan tar du den utdata och skickar en tydlig sammanfattning till Slack, så att beslutet blir synligt, sökbart och enkelt att vidarebefordra.
I praktiken är det bara några få rörliga delar. Du startar körningen, Cortex skapar skanningsjobbet och n8n hämtar slutresultatet för publicering. Poängen är konsekvens: samma verktyg, samma utdataformat, varje gång.
Det här bygger du
| Vad som automatiseras | Vad du uppnår |
|---|---|
|
|
Förväntade resultat
Säg att teamet triagerar cirka 10 misstänkta länkar per dag. Manuellt är en ”snabbkoll” ofta 10 minuter: öppna ett verktyg, skicka in URL:en, vänta, kopiera anteckningar och sedan svara i Slack. Det blir ungefär 100 minuter stop-and-go-arbete dagligen. Med det här flödet sjunker din aktiva tid till runt en minut för att köra det och klistra in URL:en (eller trigga det från en sparad indata), sedan väntar du på Cortex i bakgrunden och Slack-sammanfattningen är klar. Du får oftast tillbaka långt över en timme per dag, plus färre ”har någon redan kollat den här?”-repriser.
Innan du börjar
- n8n-instans (testa n8n Cloud gratis)
- Alternativ för self-hosting om du föredrar det (Hostinger fungerar bra)
- Cortex för URL-analys och rapportutdata.
- Slack för att posta triageresultat till en kanal.
- Cortex API-nyckel (hämta den i Cortex admin-/inställningsområde).
Svårighetsnivå: Nybörjare. Du kopplar in autentiseringsuppgifter och mappar några fält, men du behöver inte skriva kod.
Vill du att någon bygger det här åt dig? Prata med en automationsexpert (gratis konsultation i 15 minuter).
Steg för steg
En manuell körning sätter igång allt. I n8n startar du flödet från Manual Run Trigger. Det är perfekt när du vill ha en medveten ”granska och kör”-rörelse i stället för en automation som alltid är på.
URL:en skickas till Cortex. Noden Cortex URL Analyzer skickar den misstänkta länken till Cortex och startar ett analysjobb. Cortex blir din enda källa till sanning för vad ”säker” eller ”misstänkt” betyder i den här processen, vilket faktiskt gör det mycket lättare att få teamet att dra åt samma håll.
n8n hämtar slutresultatet från jobbet. Noden Cortex Job Fetch hämtar rapporten när Cortex har processat klart. Här har du strukturerad data som du kan omvandla till ett tydligt Slack-meddelande (omdöme, nyckelindikatorer och eventuella noteringar du vill standardisera).
Resultatet postas där teamet ser det. Du skickar sammanfattningen till Slack så att responders kan agera, eskalera eller stänga ärendet snabbt. Det lämnar också efter sig ett sökbart spår för framtida uppslag.
Du kan enkelt ändra formatet på Slack-meddelandet så att det matchar er interna triagemall. Se hela implementeringsguiden nedan för anpassningsalternativ.
Steg-för-steg-guide för implementation
Steg 1: konfigurera den manuella triggern
Det här arbetsflödet startar manuellt så att ni kan testa Cortex-analysen vid behov.
- Lägg till noden Manual Run Trigger som arbetsflödets trigger.
- Lämna parametrarna för Manual Run Trigger på standardvärdena (ingen konfiguration krävs).
Steg 2: anslut Cortex
Båda Cortex-noderna kräver API-åtkomst för att skicka in och hämta analysjobbet.
- Öppna Cortex URL Analyzer och anslut inloggningsuppgifter. Credential Required: Anslut era cortexApi-inloggningsuppgifter.
- Öppna Cortex Job Fetch och anslut inloggningsuppgifter. Credential Required: Anslut era cortexApi-inloggningsuppgifter.
Steg 3: konfigurera Cortex URL Analyzer
Den här noden skickar in URL:en för analys och returnerar ett jobb-id.
- Lägg till noden Cortex URL Analyzer och anslut den efter Manual Run Trigger.
- Ställ in Analyzer på
f4abc1b633b80f45af165970793fd4fd::Abuse_Finder_3_0. - Ställ in Observable Type på
url. - Ställ in Observable Value på
https://n8n.io.
Steg 4: konfigurera Cortex Job Fetch
Den här noden hämtar analysresultaten med hjälp av jobb-id:t från föregående steg.
- Lägg till noden Cortex Job Fetch och anslut den efter Cortex URL Analyzer.
- Ställ in Resource på
job. - Ställ in Job ID på
={{$node["Cortex URL Analyzer"].json["_id"]}}.
Steg 5: testa och aktivera ert arbetsflöde
Kör ett manuellt test för att bekräfta att jobbet skapas och att resultaten hämtas korrekt.
- Klicka på Execute Workflow för att köra flödet från Manual Run Trigger.
- Verifiera att Cortex URL Analyzer returnerar en jobb-payload som innehåller ett
_id. - Bekräfta att Cortex Job Fetch returnerar jobbdata för samma
_id. - När ni är nöjda, växla arbetsflödet till Active för användning i produktion.
Felsökningstips
- Cortex-autentiseringsuppgifter kan gå ut eller kräva specifika behörigheter. Om det slutar fungera, kontrollera först status för din Cortex API-nyckel och rollbehörigheter i Cortex admin-/inställningsområde.
- Om du använder Wait-noder eller extern rendering varierar processtiderna. Öka väntetiden om efterföljande noder fallerar på tomma svar.
- Standardprompter i AI-noder är generiska. Lägg in er tonalitet tidigt, annars kommer du att redigera utdata för alltid.
Snabba svar
Cirka 30 minuter om dina Cortex- och Slack-konton är redo.
Nej. Du kopplar Cortex och formaterar sedan det som postas till Slack.
Ja. n8n har ett gratisalternativ för self-hosting och en gratis provperiod på n8n Cloud. Cloud-planer startar på 20 USD/månad för högre volym. Du behöver också räkna med kostnader för Cortex API-användning utifrån din plan.
Två alternativ: n8n Cloud (hanterat, enklast att komma igång) eller self-hosting på en VPS. För self-hosting är Hostinger VPS prisvärd och hanterar n8n bra. Self-hosting ger obegränsade körningar men kräver grundläggande serverhantering.
Ja, och det borde du troligen. Du kan behålla noderna Cortex URL Analyzer och Cortex Job Fetch som de är och sedan ändra vad du gör med resultatet: posta till en annan Slack-kanal, lägga till extra fält i meddelandet eller routa resultat med ”hög risk” till en privat incidentkanal. Vissa team byter även ut den manuella triggern mot en webhook senare, så att URL:er kan skickas in via ett formulär eller en Slack-genväg.
Oftast handlar det om en utgången eller felaktig Cortex API-nyckel, eller att nyckeln saknar behörighet att köra URL-analysjobb. Generera om nyckeln i Cortex, uppdatera autentiseringsuppgiften i n8n och kör igen. Om det fortfarande misslyckas, kontrollera om din Cortex-instans är nåbar från där n8n körs (brandväggar vid self-hosting orsakar det här oftare än man tror). Rate limiting kan också dyka upp om du skickar många URL:er i en kort burst.
För en version med manuell trigger är det främst begränsat av hur många URL:er teamet skickar in och hur snabbt Cortex returnerar resultat. Med n8n Cloud Starter kan du köra tusentals flödeskörningar per månad, och högre nivåer klarar mer. Om du self-hostar beror körgränser i praktiken på serverstorlek och Cortex genomströmning, men de flesta team börjar utan problem med dussintals URL:er per dag och skalar därifrån.
Ofta, ja. n8n passar bättre när du vill ha mer kontroll över logiken, när du kan behöva self-hosta av säkerhetsskäl eller när du behöver formatera och routa resultat på ett väldigt specifikt sätt. Zapier och Make kan fungera, men säkerhetsflöden tenderar att snabbt få många grenar (”om hög risk, larma; om okänd, eskalera; om felfri, stäng”), och då blir det dyrt eller klumpigt i enklare verktyg. En sak till: att hålla flödet nära din infrastruktur kan spela roll för SecOps-team. Prata med en automationsexpert om du vill ha en snabb bedömning av vilken plattform som passar dina förutsättningar.
När det här väl är på plats slutar teamet improvisera länkkontroller i chatten. Du får snabbare svar, tydligare överlämningar och ett spår du kan lita på.
Kontakta oss
Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.