Din incidentlista fortsätter att växa, och “Critical”-larm hamnar begravda bland allt annat. Till slut sitter du och skummar rader, kopierar och klistrar in detaljer i mejl och hoppas att du inte missade det enda larmet som faktiskt spelar roll.
Det här drabbar SOC-ansvariga hårdast, men incident responders och IT-driftpersonal i beredskap känner av det också. Automatisering av Sheets Gmail alerts ger dig ett tydligt sammanfattningsmejl, plus en pålitlig logg över vad som skickades och vilka åtgärder som togs.
Nedan ser du hur arbetsflödet filtrerar “Critical”, sammanställer en lättläst briefing, mejlar den och sedan skriver tillbaka utfallet till Google Sheets så att överlämningar inte faller isär.
Så fungerar den här automatiseringen
Hela n8n-arbetsflödet, från trigger till slutresultat:
n8n Workflow Template: Google Sheets till Gmail: kritiska larm sammanfattade
flowchart LR
subgraph sg0["Schedule Flow"]
direction LR
n0@{ icon: "mdi:play-circle", form: "rounded", label: "Schedule Trigger", pos: "b", h: 48 }
n1@{ icon: "mdi:message-outline", form: "rounded", label: "📧 Send Email Alert", pos: "b", h: 48 }
n3@{ icon: "mdi:database", form: "rounded", label: "Google Sheets", pos: "b", h: 48 }
n4@{ icon: "mdi:database", form: "rounded", label: "📄 Read Threat Data", pos: "b", h: 48 }
n5@{ icon: "mdi:swap-horizontal", form: "rounded", label: "Classify Critical Alerts", pos: "b", h: 48 }
n6@{ icon: "mdi:cog", form: "rounded", label: "Aggregate", pos: "b", h: 48 }
n6 --> n1
n0 --> n4
n4 --> n5
n1 --> n3
n5 --> n6
end
subgraph sg1["Flow 2"]
direction LR
n2["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/httprequest.dark.svg' width='40' height='40' /></div><br/>HTTP Request"]
end
%% Styling
classDef trigger fill:#e8f5e9,stroke:#388e3c,stroke-width:2px
classDef ai fill:#e3f2fd,stroke:#1976d2,stroke-width:2px
classDef aiModel fill:#e8eaf6,stroke:#3f51b5,stroke-width:2px
classDef decision fill:#fff8e1,stroke:#f9a825,stroke-width:2px
classDef database fill:#fce4ec,stroke:#c2185b,stroke-width:2px
classDef api fill:#fff3e0,stroke:#e65100,stroke-width:2px
classDef code fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
classDef disabled stroke-dasharray: 5 5,opacity: 0.5
class n0 trigger
class n5 decision
class n3,n4 database
class n2 api
class n2 disabled
classDef customIcon fill:none,stroke:none
class n2 customIcon
Problemet: kritiska larm försvinner i manuell triage
Ett Google-kalkylark är förvånansvärt ofta ett “SIEM i sista hand”. Det börjar enkelt: en flik för larm, några kolumner för allvarlighetsgrad, host, tid och anteckningar. Sedan blir det standardstället alla kollar. Problemet är att kritiska incidenter inte kommer enligt ett prydligt schema, och människor är dåliga på att om och om igen skanna samma rader för den enda saken som ändrats. Resultatet blir stökiga överlämningar, sena notifieringar och inkonsekvent dokumentation eftersom varje person sammanfattar incidenter lite olika.
Det eskalerar snabbt. Här är var det brukar fallera i riktiga team.
- Någon måste öppna arket, filtrera på allvarlighetsgrad och ändå dubbelkolla varje rad för kontext.
- Mejlsammanfattningar skrivs under press, så nyckelfält som systemägare eller tid för första observation saknas.
- Om larmet kvitterades, isolerades eller eskalerades så kommer den åtgärden ofta aldrig tillbaka in i loggen.
- När ledningen frågar “vad hände förra veckan” så återskapar du en tidslinje från halvfärdiga anteckningar.
Lösningen: en veckovis (eller timvis) mejlbrief med endast Critical + loggade åtgärder
Det här n8n-arbetsflödet bevakar din klassificerade incidentlogg i Google Sheets, hämtar de senaste raderna och kontrollerar allvarlighetsgrad så att bara incidenter med “Critical” släpps igenom. När den hittar dem sammanställer den en enda sammanfattning (med korrekt formaterad HTML) och skickar den till din valda inkorg via Gmail eller SMTP. Efter att mejlet skickats skriver arbetsflödet tillbaka till Google Sheets så att du får en revisionsspår: vad som ingick, när det skickades och vilka nedströmsåtgärder du triggat. Om du vill ta det längre kan den även anropa ett externt isolerings-API (för ett EDR-verktyg som CrowdStrike, eller en proxy-endpoint) för att starta inneslutning automatiskt.
Arbetsflödet startar på en schematrigger (veckovis som standard), hämtar dina hotposter från Sheets, filtrerar på allvarlighetsgrad = Critical, aggregerar matchande rader till en lättläst briefing, skickar mejlet och uppdaterar till sist arket för att logga vad som hände.
Det här får du: automatisering vs. resultat
| Vad det här arbetsflödet automatiserar | Resultat du får |
|---|---|
|
|
Exempel: så här ser det ut
Säg att teamet går igenom en klassificerad incidentlista två gånger per dag. Manuellt tar det ungefär 15 minuter varje gång att filtrera, läsa kontext och skriva ett sammanfattningsmejl, alltså cirka 30 minuter per dag. Med det här arbetsflödet blir “jobbet” att läsa mejlet: kanske 2 minuter att skumma briefen, och sedan agerar du bara om något verkligen är kritiskt. Även om arbetsflödet tar 5–10 minuter i bakgrunden så sitter du inte och gör det. Du får tillbaka den halvtimmen, och loggen håller sig konsekvent.
Det du behöver
- n8n-instans (prova n8n Cloud gratis)
- Alternativ för egen drift om du föredrar det (Hostinger fungerar bra)
- Google Sheets för att lagra din klassificerade incidentlogg.
- Gmail eller SMTP-mejl för att skicka sammanfattningen till responders.
- API-nyckel för isolering (hämta den från ditt EDR/proxy-verktyg) om du aktiverar endpoint-isolering.
Svårighetsgrad: Nybörjare. Du kommer främst att klistra in autentiseringsuppgifter, välja rätt kalkylark och bekräfta vilka kolumner som motsvarar allvarlighetsgrad och incidentdetaljer.
Vill du inte sätta upp det här själv? Prata med en automationsspecialist (gratis 15-minuters konsultation).
Så fungerar det
Schemalagd körning. Arbetsflödet startar med en schematrigger (veckovis som standard). Du kan ändra till timvis, daglig eller till och med styra via en webhook om din pipeline stödjer det.
Hämta incidenter från Google Sheets. Det hämtar hotposterna från ditt incidentlogg-ark så att den har de senaste “redan klassificerade” larmen samlade på ett ställe.
Filter för endast Critical och bygg sammanfattning. En “If”-kontroll behåller bara allvarlighetsgrad = Critical, och sedan sammanställer ett aggregeringssteg raderna till en tydlig briefing som läser som något en människa skulle skicka.
Mejl + loggning av åtgärder. Mejlet skickas via Gmail/SMTP, därefter uppdaterar arbetsflödet dina arkrader för att logga utskicket (och kan vid behov anropa ett externt API för att initiera isolering).
Du kan enkelt justera schemat och logiken för allvarlighetsgrad så att det matchar din process. Se hela implementationsguiden nedan för anpassningsalternativ.
Steg-för-steg-guide för implementation
Steg 1: Konfigurera schemalagd trigger
Ställ in arbetsflödets starttid och körfrekvens så att aviseringar kontrolleras automatiskt.
- Lägg till och öppna Scheduled Automation Start.
- Välj önskat schema (till exempel varje timme, dagligen eller anpassad cron) för att styra när kontroller körs.
- Anslut Scheduled Automation Start till 📄 Fetch Threat Records enligt exekveringsflödet.
Steg 2: Anslut Google Sheets
Hämta hotdata från Sheets och skriv tillbaka statusuppdateringar efter att aviseringar har skickats.
- Öppna 📄 Fetch Threat Records och konfigurera kalkylarket, bladet och intervallet som innehåller era hotposter.
- Säkerställ att 📄 Fetch Threat Records matar ut de fält som behövs för att bedöma allvarlighetsgrad i Assess Critical Alerts.
- Öppna Update Sheet Records och konfigurera samma kalkylark för att lagra statusuppdateringar för aviseringar efter att e-postmeddelandet har skickats.
Steg 3: Konfigurera hantering av aviseringar
Filtrera kritiska aviseringar och sammanställ en översikt innan ni skickar notifieringar.
- Öppna Assess Critical Alerts och definiera villkoren som avgör en “kritisk” avisering (till exempel att allvarlighetsgrad är lika med hög).
- Öppna Compile Alert Summary och konfigurera aggregeringslogiken för att bygga en kortfattad sammanfattning för e-post.
- Verifiera kopplingarna 📄 Fetch Threat Records → Assess Critical Alerts → Compile Alert Summary.
Steg 4: Konfigurera utgående notifieringar
Skicka sammanfattningen via e-post och uppdatera arket efter utskick.
- Öppna 📧 Dispatch Email Notice och konfigurera mottagare, ämne och brödtext så att fält från Compile Alert Summary inkluderas.
- Bekräfta kopplingen Compile Alert Summary → 📧 Dispatch Email Notice → Update Sheet Records.
- (Valfritt) Granska Utility: External API Call om ni planerar att bygga ut flödet; den är för närvarande inaktiverad.
Steg 5: Testa och aktivera ert arbetsflöde
Verifiera dataflödet från triggern via e-postutskick och uppdateringar i Sheets.
- Klicka på Execute Workflow för att köra ett manuellt test från Scheduled Automation Start.
- Bekräfta att 📄 Fetch Threat Records returnerar rader, att Assess Critical Alerts filtrerar korrekt och att Compile Alert Summary matar ut en användbar sammanfattning.
- Verifiera att 📧 Dispatch Email Notice skickar e-postmeddelandet och att Update Sheet Records loggar uppdateringen.
- När ni är nöjda, växla arbetsflödet till Active för att aktivera schemalagda körningar.
Vanliga fallgropar
- Behörigheter i Google Sheets kan vara knepiga över delade enheter. Om saker går sönder, kontrollera det anslutna Google-kontot i n8n Credentials och bekräfta att det har åtkomst till både arket som läses och loggarket.
- Om du använder Wait-noder eller extern rendering varierar processtiderna. Öka väntetiden om nedströmsnoder fallerar på tomma svar.
- EDR- eller isolerings-API-anrop kan misslyckas utan tydliga fel om API-nyckeln är fel eller om endpointen förväntar sig en specifik JSON-body. Kontrollera svaret i HTTP Request-noden och dina EDR-auditloggar innan du litar på det i skarpt läge.
Vanliga frågor
Cirka 30 minuter om åtkomst till Sheets och mejl redan är på plats.
Nej. Du kopplar konton och mappar nyckelfält som allvarlighetsgrad och incidentdetaljer.
Ja. n8n har ett gratis alternativ för egen drift och en gratis provperiod på n8n Cloud. Cloud-planer börjar på 20 USD/månad för högre volymer. Du behöver också räkna in eventuella kostnader för EDR eller isolerings-API om din leverantör tar betalt per åtgärd.
Två alternativ: n8n Cloud (driftat, enklast att komma igång) eller egen drift på en VPS. För egen drift är Hostinger VPS prisvärt och hanterar n8n bra. Egen drift ger dig obegränsade körningar men kräver grundläggande serverhantering.
Ja, men testa noggrant. Du kan ersätta steget Gmail/Email Send med ett Slack-meddelande eller ett Jira-ärende genom att byta ut åtgärden “Dispatch Email Notice” mot relevant nod och behålla samma aggregerade sammanfattning. Vanliga anpassningar är att skicka Critical till beredskapschatt, skapa ett ärende bara när arkraden är ny och lägga till en länk tillbaka till exakt incidentrad för snabbare validering.
Oftast handlar det om behörigheter eller fel Google-konto. Anslut Google Sheets-uppgiften på nytt i n8n och bekräfta att den har åtkomst till det specifika kalkylarket (delade enheter är ett vanligt hinder). Kontrollera också att bladnamnet/fliknamnet inte har ändrats, eftersom noden kan “misslyckas” även om din inloggning är korrekt.
I praktiken hanterar den mycket för små team eftersom den bara mejlar det som matchar “Critical”, inte varje rad.
Ofta, ja. Det här arbetsflödet kräver filtrering, aggregering och valfria API-anrop för responsåtgärder, och n8n hanterar den typen av logik utan att göra varje gren till en betald “task” som vissa verktyg gör. Du får också möjligheten till egen drift, vilket är viktigt när du jobbar med säkerhetsflöden och vill ha tätare kontroll. Om din uppsättning bara är “ny rad i Sheets → skicka ett mejl” kan Zapier eller Make vara helt okej och snabbare att klicka ihop. Men när du lägger till “endast Critical”, en formaterad briefing och återrapporteringar för revisionsspår brukar n8n hålla sig renare. Prata med en automationsspecialist om du vill få en snabb avstämning.
När detta väl rullar slutar “Critical” vara en etikett du hoppas att någon ser. Det blir en repeterbar, loggad process du kan lita på.
Kontakta oss
Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.