Dina endpoint-varningar kommer inte som en prydlig att-göra-lista. De kommer som brusiga fragment: EDR-pingar, sårbarhetsposter, händelser för filintegritet och “hög allvarlighetsgrad” överallt. Sedan måste någon avgöra vad som faktiskt är viktigast i dag. Det är där endpoint risk automation räddar dig.
SOC-analytiker märker det i morgonkön. IT-chefer märker det när intressenter frågar: “Är vi exponerade?” Och säkerhetsansvarig som äger rapporteringen märker det mest när prioriteringar ändras mitt på dagen. Det här arbetsflödet gör spridda signaler till en rankad lista över endpoint-risker som du kan agera på.
Du får se hur arbetsflödet hämtar CVE- och EDR-signaler, poängsätter risk utifrån din verksamhetskontext, loggar resultaten i Google Sheets och mejlar en korrekt formaterad sammanfattning så att hela teamet snabbt kommer i synk.
Så fungerar den här automatiseringen
Hela n8n-arbetsflödet, från trigger till slutligt resultat:
n8n Workflow Template: Google Sheets + e-post: rankad lista över endpointrisk
flowchart LR
subgraph sg0["Flow 1"]
direction LR
n0@{ icon: "mdi:cog", form: "rounded", label: "⏰ Cron Trigger – Daily", pos: "b", h: 48 }
n1["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/httprequest.dark.svg' width='40' height='40' /></div><br/>🛡 Get EDR Logs"]
n2["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/httprequest.dark.svg' width='40' height='40' /></div><br/>🗃 Get File Integrity Logs"]
n3["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/httprequest.dark.svg' width='40' height='40' /></div><br/>🧬 Get Vulnerability Data"]
n4["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/merge.svg' width='40' height='40' /></div><br/>🔀 Merge Endpoint Signals"]
n5["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/merge.svg' width='40' height='40' /></div><br/>🔀 Merge + FIM Logs"]
n6@{ icon: "mdi:code-braces", form: "rounded", label: "🧠 Risk Score Calculator", pos: "b", h: 48 }
n7@{ icon: "mdi:database", form: "rounded", label: "Google Sheets", pos: "b", h: 48 }
n1 --> n4
n5 --> n6
n0 --> n1
n6 --> n7
n4 --> n5
n3 --> n4
n2 --> n5
end
%% Styling
classDef trigger fill:#e8f5e9,stroke:#388e3c,stroke-width:2px
classDef ai fill:#e3f2fd,stroke:#1976d2,stroke-width:2px
classDef aiModel fill:#e8eaf6,stroke:#3f51b5,stroke-width:2px
classDef decision fill:#fff8e1,stroke:#f9a825,stroke-width:2px
classDef database fill:#fce4ec,stroke:#c2185b,stroke-width:2px
classDef api fill:#fff3e0,stroke:#e65100,stroke-width:2px
classDef code fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
classDef disabled stroke-dasharray: 5 5,opacity: 0.5
class n7 database
class n1,n2,n3 api
class n6 code
classDef customIcon fill:none,stroke:none
class n1,n2,n3,n4,n5 customIcon
Problemet: varningsbrus döljer verklig endpoint-risk
De flesta team missar inte hot för att de saknar verktyg. De missar dem för att varje verktyg rapporterar risk på sitt eget sätt, med sin egen poängsättning, och inget av det speglar vad verksamheten faktiskt bryr sig om. En “kritisk” CVE på en icke-kritisk enhet kan stjäla fokus från en medelallvarlig fråga på ett ekonomisystem. Samtidigt visar EDR-varningar symptom, sårbarhetsflöden visar exponering och filintegritetsloggar visar förändring. Att manuellt sy ihop det i kalkylblad är långsamt, felbenäget och ärligt talat utmattande.
Det blir snabbt mycket. Här är var det brukar falla isär i verkliga team.
- Man triagerar samma endpoints två gånger eftersom EDR- och CVE-listor inte matchar tydligt.
- Verksamhetskritikalitet ligger i ett separat tillgångsregister, så risk prioriteras utan kontext.
- Daglig rapportering blir en manuell copy-paste-rutin som bränner ungefär en timme när du minst har tid.
- När prioriteringar inte delas blir responsen “den som ropar högst” i stället för “det som är farligast”.
Lösningen: en daglig rankad endpoint-risklista i Sheets + e-post
Det här n8n-arbetsflödet körs enligt schema och samlar nyckelsignalerna du redan har i en och samma poängsättning. Det hämtar EDR-varningar, samlar sårbarhetsinfo (CVE-exponering per endpoint) och hämtar loggar från filintegritetsövervakning för att fånga meningsfull förändring. Sedan slår det ihop strömmarna till en samlad endpoint-vy och beräknar en riskpoäng med en viktad formel som inkluderar både teknisk allvarlighetsgrad och din tillgångskontext. Till sist uppdaterar det Google Sheets med den rankade listan så att du får en “aktiv vy” och ett historiskt spår, och skickar ett sammanfattningsmejl så att teamet ser samma prioriteringar utan att logga in i fem konsoler.
Arbetsflödet börjar med en daglig Cron-trigger. Därifrån hämtar HTTP-anrop EDR-, sårbarhets- och integritetssignaler som slås ihop till en dataset. En Function-nod räknar fram slutpoängen och åtgärdsnivån, och Google Sheets blir sanningskällan som din e-postsammanfattning länkar till.
Det du får: automatisering kontra resultat
| Det här arbetsflödet automatiserar | Resultat du får |
|---|---|
|
|
Exempel: så här ser det ut
Säg att ditt team granskar 60 endpoints varje morgon. Manuellt kan du lägga cirka 2 minuter per endpoint på att korschecka en EDR-varningslista, ett CVE-flöde och ett tillgångsregister i Google Sheets, plus ytterligare 30 minuter för att skriva ett sammanfattningsmejl. Det är ungefär 2,5 timmar “ta reda på det”-tid innan någon åtgärd sker. Med det här arbetsflödet låter du den dagliga triggern köra, väntar cirka 10 minuter på datainhämtning och poängsättning, skummar igenom det rankade arket och skickar den förbyggda sammanfattningen. De flesta morgnar får du tillbaka ungefär 2 timmar.
Det här behöver du
- n8n-instans (testa n8n Cloud gratis)
- Alternativ för egen drift om du föredrar det (Hostinger fungerar bra)
- Google Sheets för aktiva och historiska risklistor.
- Gmail för att skicka det dagliga rankade sammanfattningsmejlet.
- API-åtkomst till EDR/CVE/FIM (hämta den via din leverantörs API- eller feed-inställningar).
Kunskapsnivå: Medel. Du kopplar konton, mappar några fält och justerar en poängsättningsfunktion på ett säkert sätt.
Vill du inte sätta upp detta själv? Prata med en automationsexpert (gratis 15-minuters konsultation).
Så fungerar det
Ett dagligt schema drar i gång. Cron-triggern kör enligt din valda takt (dagligen är vanligast), så arbetsflödet skapar en ny riskvy även om teamet är upptaget eller underbemannat.
Hotsignaler samlas in och normaliseras. n8n hämtar EDR-varningar och sårbarhetsinformation via HTTP-anrop och slår sedan ihop dem till en endpoint-post så att varje enhet får en samlad “berättelse” i stället för spridda poster.
Filintegritetsloggar ger extra säkerhet. En andra HTTP-hämtning tar in FIM-händelser som sedan kopplas ihop med övriga signaler. Det hjälper dig att hitta endpoints som både är exponerade och samtidigt förändras på misstänkta sätt.
Risk poängsätts och skrivs till Sheets. En Function-nod beräknar en viktad riskpoäng (allvarlighetsgrad × tillgångsbetyg × exponeringskoefficient), tillämpar dina playbook-regler (Notifiera / Utred / Isolera) och uppdaterar Google Sheets med den rankade utdata så att den är enkel att granska och dela.
Du kan enkelt ändra poängvikter så att de matchar din miljö, eller justera åtgärdströsklarna efter din responskapacitet. Se hela implementationsguiden nedan för anpassningsalternativ.
Steg-för-steg-guide för implementering
Steg 1: konfigurera den dagliga schematriggern
Ställ in arbetsflödet så att det körs dagligen enligt ett schema, så att endpointsignaler samlas in automatiskt.
- Lägg till och öppna Daily Schedule Trigger.
- Konfigurera schemat för att köras dagligen (arbetsflödet är utformat för en daglig kadens).
- Anslut Daily Schedule Trigger till Retrieve EDR Alerts för att starta exekveringsflödet.
Steg 2: anslut källor för endpointsignaler
Hämta EDR-larm, sårbarhetsdata och loggar för filintegritet som råindata för risksammanställning.
- Öppna Retrieve EDR Alerts och konfigurera HTTP-begäran mot er EDR API-endpoint.
- Öppna Collect Vulnerability Info och konfigurera HTTP-begäran mot er sårbarhetsskanner eller CVE-flöde.
- Öppna Fetch File Integrity Logs och konfigurera HTTP-begäran mot er FIM-loggkälla.
- Bekräfta flödet: Daily Schedule Trigger → Retrieve EDR Alerts → Combine Endpoint Signals, där även Collect Vulnerability Info matar in i Combine Endpoint Signals.
- Bekräfta att Fetch File Integrity Logs är ansluten till Join FIM with Signals.
Steg 3: konfigurera sammanslagning av signaler och riskberäkning
Kombinera alla signaler till ett enda dataset och beräkna en riskpoäng för varje endpoint.
- Öppna Combine Endpoint Signals och säkerställ att den slår ihop indata från Retrieve EDR Alerts och Collect Vulnerability Info.
- Öppna Join FIM with Signals och verifiera att den slår ihop Combine Endpoint Signals med Fetch File Integrity Logs.
- Öppna Compute Risk Score och implementera poänglogiken i JavaScript baserat på det kombinerade datasetet.
Steg 4: konfigurera utdata till Google Sheets
Skriv de beräknade riskpoängen till ett rapporteringskalkylark för överblick och uppföljning.
- Öppna Update Sheets Record och välj ert målkalkylark och arbetsblad.
- Mappa fälten från Compute Risk Score till kolumnerna i ert ark.
- Credential Required: Anslut era Google Sheets-uppgifter.
Steg 5: testa och aktivera ert arbetsflöde
Kör ett fullständigt test för att bekräfta att insamling, sammanslagning, poängsättning och uppdatering av arket fungerar hela vägen.
- Klicka på Execute Workflow för att köra ett manuellt test från Daily Schedule Trigger.
- Verifiera att Retrieve EDR Alerts, Collect Vulnerability Info och Fetch File Integrity Logs returnerar data utan fel.
- Bekräfta att Compute Risk Score ger förväntade riskvärden och att Update Sheets Record skriver rader till ert kalkylark.
- När resultatet ser korrekt ut, slå på arbetsflödet till Active för att köra dagligen i produktion.
Vanliga fallgropar
- OAuth-inloggning för Google Sheets kan gå ut eller kräva specifika behörigheter. Om det uppstår fel, kontrollera först n8n-skärmen Credentials och din Google-kontos appåtkomst.
- Om du använder Wait-noder eller extern rendering varierar processtiderna. Öka väntetiden om efterföljande noder misslyckas på grund av tomma svar.
- Standardprompter i AI-noder är generiska. Lägg in din tonalitet tidigt, annars kommer du att redigera utdata för alltid.
Vanliga frågor
Cirka 45 minuter om dina API:er och Sheets är redo.
Nej. Du mappar främst fält och kopplar inloggningsuppgifter i n8n. Den enda “kod-liknande” delen är riskpoängsättningsfunktionen, och du kan redigera den genom att ändra tydligt märkta vikter.
Ja. n8n har ett gratis alternativ för egen drift och en gratis provperiod på n8n Cloud. Cloud-planer börjar på 20 USD/månad för högre volym. Du behöver också räkna in eventuella API-kostnader från EDR/CVE/FIM-leverantörer (många ingår i din säkerhetsstack, men vissa flöden är betalda).
Två alternativ: n8n Cloud (hanterat, enklast att komma i gång) eller egen drift på en VPS. För egen drift är Hostinger VPS prisvärd och kör n8n bra. Egen drift ger obegränsade körningar men kräver grundläggande serverhantering.
Ja, och det är en klok anpassning. Du kan lägga till fält för avdelningsägarskap i Google Sheets och sedan justera logiken i “Compute Risk Score” för att sätta en ägare och routa olika åtgärdsnivåer till olika mottagargrupper. Vanliga justeringar är separata trösklar för servrar kontra laptops, en högre multiplikator för ekonomisystem och en regel som eskalerar när FIM-förändringar och aktiva EDR-varningar sker samtidigt.
Oftast beror det på utgången eller återkallad OAuth-åtkomst. Återanslut Google Sheets-inloggningen i n8n och bekräfta sedan att Google-kontot fortfarande har åtkomst till målarket (delade enheter kan orsaka detta ibland). Om arket bytte namn eller flikar ändrades kan noden också peka på fel kalkylblad. Kontrollera till sist att du inte har slagit i Google API-kvoter om du skriver många rader på en gång.
Hundratals per körning är normalt i en liten till medelstor miljö, och egen drift kan skala vidare så länge din server och dina API:er hänger med.
Ofta, ja, eftersom poängsättnings- och triagelogik snabbt blir rörig. n8n gör det enklare att slå ihop flera datakällor, köra en riktig poängsättningsfunktion och förgrena på “Notifiera vs. Utred vs. Isolera” utan att betala extra för varje villkor. Du har också möjligheten att köra i egen drift, vilket spelar roll om du kör detta ofta eller bearbetar många endpoints. Zapier och Make fungerar för enkla tvåapp-flöden, men du märker begränsningarna när du behöver sammanslagningar, beräkningar och pålitlig historik på ett ställe. Prata med en automationsexpert om du vill ha hjälp att välja utifrån volym och säkerhetskrav.
När detta väl är igång får du automatiskt svar på frågan “vad ska vi göra först?”. Arbetsflödet tar hand om den repetitiva sorteringen så att du kan lägga tiden på att åtgärda de mest riskfyllda endpoints.
Kontakta oss
Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.