Din incidentlista fylls snabbt. Sedan börjar det verkliga problemet: ingen är överens om vad som är ”kritiskt”, folk jagar den högljuddaste larmnotisen och uppföljningsanteckningarna blir utspridda i Slack, e-post och minnet.
SOC-analytiker märker det under ett hektiskt pass. Blue Team-ledare märker det när de får frågan: ”Vad gjorde vi åt det där?” IT-responders märker det när de dras in i fel ärende. Den här incident alert automation ger dig konsekventa allvarlighetsgrader och nästa bästa åtgärd, utan att du behöver göra samma bedömning 30 gånger om dagen.
Det här arbetsflödet läser larm från Google Sheets, skickar dem till OpenAI för strukturerad klassificering och skriver tillbaka felfria taggar och rekommendationer till din incidentlogg. Nedan ser du hur det fungerar, vad det ersätter och hur du implementerar det på ett säkert sätt.
Så fungerar den här automatiseringen
Se hur detta löser problemet:
n8n Workflow Template: Google Sheets + OpenAI: sortera incidentlarm snabbt
flowchart LR
subgraph sg0["Schedule Flow"]
direction LR
n0@{ icon: "mdi:swap-vertical", form: "rounded", label: "✏️ Format Tags", pos: "b", h: 48 }
n1@{ icon: "mdi:database", form: "rounded", label: "📄 Google Sheets - Read Alerts", pos: "b", h: 48 }
n2["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/httprequest.dark.svg' width='40' height='40' /></div><br/>🧠 Classify Incident (GPT)"]
n3@{ icon: "mdi:play-circle", form: "rounded", label: "Schedule Trigger", pos: "b", h: 48 }
n4@{ icon: "mdi:database", form: "rounded", label: "Google Sheets", pos: "b", h: 48 }
n3 --> n1
n0 --> n4
n2 --> n0
n1 --> n2
end
%% Styling
classDef trigger fill:#e8f5e9,stroke:#388e3c,stroke-width:2px
classDef ai fill:#e3f2fd,stroke:#1976d2,stroke-width:2px
classDef aiModel fill:#e8eaf6,stroke:#3f51b5,stroke-width:2px
classDef decision fill:#fff8e1,stroke:#f9a825,stroke-width:2px
classDef database fill:#fce4ec,stroke:#c2185b,stroke-width:2px
classDef api fill:#fff3e0,stroke:#e65100,stroke-width:2px
classDef code fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
classDef disabled stroke-dasharray: 5 5,opacity: 0.5
class n3 trigger
class n1,n4 database
class n2 api
classDef customIcon fill:none,stroke:none
class n2 customIcon
Utmaningen: inkonsekvent incidentallvar och nästa steg
Om dina larm hamnar i ett kalkylark (eller kopieras in i ett) blir triageringen ett bedömningsmaraton. En analytiker taggar ”High”, en annan skriver ”förmodligen okej”, och den som har jouren ärver en rörig rad utan tydlig ägare, allvarlighetsgrad eller playbook. Samtidigt växer arket vidare, så du lägger mer tid på att läsa om gammal kontext än att faktiskt agera. Helt ärligt är det utmattande. Och när ledningen ber om en snabb incidentsammanfattning fastnar du i att översätta halvfärdiga anteckningar till något sammanhängande.
Det går snabbt utför. Här är var det faller isär i det dagliga arbetet.
- Larmrader skapas snabbt, men allvarlighetsgrad och åtgärder skrivs olika varje gång, vilket gör filtrering opålitlig.
- Värdnamn, IP och riskscore ligger oanvända eftersom ingen har tid att göra dem till ett konsekvent beslut.
- Manuell triage bryter fokus, så du hamnar i ständiga kontextbyten mellan arket, tillgångsinventeringen och tidigare incidenter.
- Rapportering blir gissningslek eftersom ”incidentloggen” egentligen är en blandning av råa larm och delvisa åtgärder.
Lösningen: Google Sheets + OpenAI-klassificering av incidenter
Det här n8n-arbetsflödet gör ditt incidentkalkylark till en konsekvent triage-pipeline. Enligt schema hämtar det senaste endpoint-larm från Google Sheets och skickar sedan nyckelfälten (värdnamn, IP, riskscore och eventuell larmkontext du sparar) till en OpenAI-driven klassificerare. I stället för att få tillbaka ett vagt stycke text får du strukturerad JSON med två saker du faktiskt kan agera på: en allvarlighetstagg (Low, Medium, High eller Critical) och en åtgärdsrekommendation (Monitor, Investigate, Isolate eller Escalate). Resultaten formateras korrekt och skrivs tillbaka till ett centraliserat ark för ”klassificerade incidenter”, så att din logg förblir läsbar och sökbar över tid.
Arbetsflödet startar med en schemalagd körning, hämtar de senaste raderna och ber OpenAI klassificera varje larm utifrån dina risksignaler. Därefter normaliserar det taggar (så att ”critical” inte blir ”CRIT” i en annan kolumn) och uppdaterar kalkylarksposten som din källa till sanning.
Vad som ändras: före vs. efter
| Detta eliminerar | Effekten du kommer att se |
|---|---|
|
|
Praktisk effekt i verkligheten
Säg att ditt ark samlar in cirka 30 larm per dag. Manuellt tar en snabb triageringsrunda ofta 3 minuter per larm när du har läst raden, kollat riskscore, beslutat allvarlighetsgrad och skrivit nästa steg, så du hamnar runt 90 minuter per dag. Med det här arbetsflödet startar körningen automatiskt, OpenAI klassificerar batchen och arket uppdateras i bakgrunden. Din tid hands-on blir en snabb genomgång av raderna med ”High/Critical”, kanske totalt 10 minuter, vilket märks tydligt efter en vecka.
Krav
- n8n-instans (prova n8n Cloud gratis)
- Alternativ för egen hosting om du föredrar det (Hostinger fungerar bra)
- Google Sheets för dina larm som indata och din incidentlogg.
- OpenAI API för att klassificera allvarlighetsgrad och åtgärder.
- OpenAI API-nyckel (hämta den från OpenAI-dashboardens sida för API-nycklar).
Kunskapsnivå: Medel. Du kopplar Google Sheets-inloggning och klistrar in en API-nyckel, och du bör känna dig bekväm med att redigera en prompt.
Behöver du hjälp att implementera detta? Prata med en automationsexpert (kostnadsfri 15-minuters konsultation).
Arbetsflödets flöde
Schemalagd körning triggar kontrollen. Arbetsflödet startar enligt schema (till exempel varje timme) så att din incidentlogg hålls uppdaterad utan att någon behöver komma ihåg att köra det.
Larm hämtas från Google Sheets. n8n läser de senaste endpoint-larmen från ditt indataark och tar med de fält som teamet redan använder, som värdnamn, IP och riskscore.
OpenAI klassificerar incidenten. Arbetsflödet skickar larmkontext till OpenAI-endpointen via en HTTP Request. Modellen returnerar strukturerad JSON som innehåller en allvarlighetstagg och en rekommenderad åtgärd i linje med dina playbooks (Monitor, Investigate, Isolate, Escalate).
Taggar normaliseras och skrivs tillbaka. Ett formateringssteg rensar utdata så att etiketter förblir konsekventa, och sedan uppdaterar arbetsflödet dina kalkylarksposter så att arket för ”klassificerade incidenter” fortsätter vara din enda källa till sanning.
Du kan enkelt justera tröskelvärden för allvarlighetsgrad så att de matchar din miljö och riskaptit, baserat på dina behov. Se hela implementationsguiden nedan för anpassningsalternativ.
Steg-för-steg-implementeringsguide
Steg 1: konfigurera den schemalagda triggern
Det här arbetsflödet startar enligt ett schema med Scheduled Run Trigger.
- Lägg till Scheduled Run Trigger som triggernod i början av arbetsflödet.
- Konfigurera schemat så att det matchar hur ofta ni vill att incidentlarm ska behandlas (t.ex. varje timme eller dagligen).
- Koppla Scheduled Run Trigger till Retrieve Sheet Alerts för att följa exekveringsflödet.
Steg 2: anslut Google Sheets för inkommande larm
Retrieve Sheet Alerts läser in råa incidentlarm från ert kalkylark.
- Lägg till Retrieve Sheet Alerts och välj Google Sheets-dokumentet och fliken som innehåller inkommande incidentlarm.
- Ställ in läsoperationen så att den hämtar de rader ni vill behandla vid varje körning.
- Säkerställ att Retrieve Sheet Alerts skickar utdata till AI Incident Categorizer.
Steg 3: konfigurera AI-klassificering
AI Incident Categorizer bearbetar varje larm och returnerar en kategori eller tagg.
- Lägg till AI Incident Categorizer som en HTTP request-nod för att anropa er AI-klassificeringsendpoint.
- Ställ in request-metod, URL och payload-struktur som er AI-tjänst förväntar sig.
- Koppla AI Incident Categorizer till Tag Formatting Step för att skicka AI-svaret vidare.
Steg 4: formatera taggar och uppdatera arket
Tag Formatting Step förbereder AI-utdata, och Update Spreadsheet Records skriver tillbaka det till Google Sheets.
- I Tag Formatting Step lägger ni till fält för att mappa AI-klassificeringen till exakt det taggformat ni vill spara.
- Koppla Tag Formatting Step till Update Spreadsheet Records.
- Konfigurera Update Spreadsheet Records så att den uppdaterar rätt rad och kolumn med den formaterade taggen.
Steg 5: testa och aktivera ert arbetsflöde
Validera hela flödet, från schemalagd trigger till uppdateringar i kalkylarket, innan ni aktiverar det i produktion.
- Kör arbetsflödet manuellt med Execute Workflow för att testa en full körning.
- Bekräfta att datavägen följer: Scheduled Run Trigger → Retrieve Sheet Alerts → AI Incident Categorizer → Tag Formatting Step → Update Spreadsheet Records.
- Verifiera att de uppdaterade taggarna visas i ert Google Sheet på förväntade rader och kolumner.
- När allt fungerar, växla arbetsflödet till Active för att tillåta schemalagda körningar.
Se upp för
- Google Sheets-inloggningar kan löpa ut eller kräva specifika behörigheter. Om något skapar fel, kontrollera först det anslutna Google-kontot och inställningarna för delning av arket.
- Om du använder Wait-noder eller extern rendering varierar bearbetningstider. Öka väntetiden om efterföljande noder fallerar på tomma svar.
- Standardprompter i AI-noder är generiska. Lägg in er tonalitet tidigt, annars kommer du att sitta och redigera utdata för alltid.
Vanliga frågor
Oftast på under en timme om dina Sheets och API-nyckel är redo.
Ja, men du vill ha en noggrann ansvarig. Det kräver ingen kodning, men du behöver koppla Google Sheets och klistra in OpenAI API-nyckeln på rätt ställe.
Ja. n8n har ett gratis alternativ för egen hosting och en gratis provperiod på n8n Cloud. Cloud-planer börjar på 20 USD/månad för högre volym. Du behöver också räkna med OpenAI API-kostnader (ofta några cent per batch, beroende på promptlängd och volym).
Två alternativ: n8n Cloud (hanterat, enklaste setup) eller egen hosting på en VPS. För egen hosting är Hostinger VPS prisvärd och hanterar n8n bra. Egen hosting ger obegränsat antal körningar men kräver grundläggande serverhantering.
Du kan justera prompten i requesten ”AI Incident Categorizer” så att modellen följer era riskregler och er namngivning. Vanliga anpassningar är att mappa interna asset-nivåer till allvarlighetsgrad, ändra åtgärdsetiketterna så att de matchar era playbooks och lägga till extra utdatafält som ”owner team” eller ”ticket priority”. Om din organisation föredrar en annan modell kan du byta ut OpenAI-anropet mot Claude, Gemini eller ett lokalt LLM-API utan att ändra det övergripande flödet.
Oftast beror det på en utgången Google OAuth-anslutning eller att behörigheterna för arket har ändrats. Återanslut Google Sheets-inloggningen i n8n och bekräfta sedan att exakt kalkylark- och fliknamn fortfarande matchar det som arbetsflödet förväntar sig. Om det bara fallerar på vissa rader, kontrollera att obligatoriska fält inte är tomma (till exempel saknad IP/värdnamn) som kan göra att AI-requesten eller uppdateringssteget avvisar posten.
Den skalar till hundratals larm per dag för de flesta mindre team, och mer om du batchar rader och kör med egen hosting. På n8n Cloud beror kapaciteten främst på dina exekveringsgränser och hur ofta du kör schemat. OpenAI-delen är vanligtvis flaskhalsen eftersom stora batchar kan slå i rate limits, så det är smartare att bearbeta nya rader ofta i stället för att skicka en jättestor daglig request.
Ofta, ja. Det här mönstret behöver hantering av strukturerad JSON, formatering och tillförlitliga uppdateringar tillbaka till ett ark, och n8n är mer bekvämt med den typen av förgreningslogik. Du får också möjligheten att köra med egen hosting för obegränsat antal körningar, vilket spelar roll när du börjar klassificera larm enligt ett tajt schema. Zapier eller Make kan fortfarande fungera om ditt flöde är enkelt och volymen är låg, men du kan hamna i att kämpa med formateringen. Prata med en automationsexpert om du vill ha en snabb rekommendation baserat på din larmvolym.
När arket hålls strukturerat blir resten av incidenthanteringen lugnare. Låt arbetsflödet sköta den repetitiva sorteringen, så kan du lägga din uppmärksamhet på incidenterna som faktiskt förtjänar den.
Kontakta oss
Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.