Automatize tarefas com ciclos de manuais de soluções

Compatível com:

A funcionalidade Playbook Loops centra-se nos ciclos for-each para iterar listas e executar um conjunto de ações uma vez para cada item.

Com os ciclos do manual de soluções, pode processar eficientemente vários itens, como entidades, executando uma única ação ou uma série de ações várias vezes. Isto elimina a necessidade de personalizar ações ou duplicar ações manualmente quando precisa de executar passos repetitivos em várias entidades ou outros tipos de dados. Também pode simplificar os fluxos de trabalho colocando blocos dentro de ciclos ou incorporando ciclos dentro de blocos.

Tipos de repetição suportados

Os ciclos do livro de jogadas suportam a iteração nos seguintes tipos de dados:

  • Entidades: pode iterar uma lista de entidades num alerta.
  • Listas: pode iterar uma lista de itens definida pelo utilizador ou uma lista resolvida dinamicamente através de um marcador de posição.

Estruture os seus loops

Um ciclo do manual de soluções consiste num passo Loop Start e num passo Loop End correspondente. As ações que quer repetir para cada item na sua lista são colocadas entre estes dois passos.

Início do ciclo

O passo Início do ciclo marca o início do ciclo e inclui a respetiva configuração.

  • Pode atribuir um nome ao seu ciclo no passo Início do ciclo. Este nome é apresentado nos passos Início do ciclo e Fim do ciclo.
  • Este passo define o parâmetro Loop Over (Entidades ou Lista) e configura as definições específicas para o tipo selecionado.
  • Este passo permite-lhe configurar o comportamento do ciclo quando atinge o respetivo limite de iterações (atualmente limitado a 100 iterações) ou encontra um problema.
  • Quando o ciclo é iniciado com êxito, é apresentada uma marca de verificação.

Fim da repetição

O passo Loop End marca o ponto final do loop.

  • Não pode editar diretamente o passo Loop End. A respetiva configuração está associada ao passo Loop Start.
  • Quando o ciclo conclui todas as suas iterações com êxito, o passo Fim do ciclo devolve um estado de êxito (indicado por uma marca de verificação) e um resultado JSON inclui o número de iterações executadas.
  • Se o ciclo parar antes de processar todos os itens (devido ao limite máximo de iterações), o resultado JSON inclui uma lista de itens ignorados.

Defina ações no ciclo

As ações colocadas entre os passos Início do ciclo e Fim do ciclo são executadas repetidamente. Pode arrastar qualquer ação do conjunto de regras padrão para esta área, incluindo ações e blocos condicionais.

Ciclos que iteram entidades

Por predefinição, quando um ciclo itera sobre entidades, as ações nesse ciclo são aplicadas apenas à entidade atual em cada iteração. A ação processa uma entidade de cada vez à medida que o ciclo avança.

Para ações que operam em entidades (por exemplo, VirusTotal - Enrich Hash), a ação é automaticamente definida para a entidade atual no ciclo. Os marcadores de posição de entidades usados no ciclo também referenciam apenas a entidade do ciclo atual.

Para ilustrar isto, considere o seguinte exemplo de utilização: Analise hashes e crie pedidos para os maliciosos.

Ciclos avançados que iteram sobre entidades

Em alguns exemplos de utilização, pode ter de aceder às informações da entidade iterada atual e de outras entidades de alerta. Para o conseguir, desative o botão ativar/desativar Restringir âmbito à iteração para essa ação de ciclo específica.

  • Quando o botão está ativado, os dados de entidades e os marcadores de posição estão restritos apenas à entidade em ciclo atual.
  • Quando o botão está desativado, os dados das entidades e os marcadores de posição podem aceder a todas as entidades de alerta, com base na configuração no menu Entidades.
    • Use marcadores de posição Entity para aceder aos dados de entidades ao nível do alerta.
    • Use Loop.Entity para fazer referência apenas à entidade em ciclo atual.

Para ilustrar isto, considere o seguinte exemplo de utilização: Crie pedidos prioritários para ficheiros maliciosos com base no cargo do utilizador.

Ciclos que iteram listas

Um ciclo pode executar um conjunto de ações para cada item numa lista definida, em que pode fazer o seguinte:

  • Defina a lista diretamente ou use um marcador de posição que seja resolvido para uma lista.
  • Personalize o delimitador com base nas suas necessidades (por exemplo, uma vírgula ou uma barra).
  • Faça referência ao item iterado através do marcador de posição Loop.item.

Para ilustrar isto, considere o seguinte exemplo de utilização: Notificar os utilizadores sobre palavras-passe divulgadas.

Trabalhe com blocos dentro de ciclos

Pode incluir blocos de guião diretamente num ciclo. Quando um bloco é arrastado para um ciclo, as respetivas ações são executadas uma vez para cada item ou entidade que o ciclo processa.

Se o ciclo iterar sobre entidades, o bloco inclui um botão Bloquear âmbito à iteração. Este botão ativa/desativa controla a forma como as ações dentro do bloco acedem aos dados da entidade:

  • Ativar: todos os passos no bloco estão no âmbito da entidade atual nessa iteração do ciclo específica. Isto garante que quaisquer marcadores de posição e ações na função operam apenas nos dados relevantes para essa iteração.
  • Desativado: os passos no interior do bloco têm acesso a todas as entidades de alerta. O bloco recebe todas as entidades do alerta e não apenas a que está a ser processada pelo ciclo principal. Neste caso, os marcadores de posição loop.entity são apresentados no menu e podem ser usados apenas para aceder à entidade iterada.

Trabalhe com ciclos dentro de blocos

Pode colocar ciclos dentro de blocos de manuais de procedimentos para realizar tarefas repetitivas como parte da lógica do bloco. Isto permite-lhe iterar sobre itens ou entidades numa secção com âmbito do manual de estratégias.

A configuração de um ciclo dentro de um bloco segue o mesmo processo que a configuração de qualquer outro ciclo num manual.

Para mais detalhes, consulte o artigo Configure ações do Playbook Loop.

Configure ações do Playbook Loop

Para configurar ações do Playbook Loop, siga estes passos:

  1. No menu Navegação, aceda a Resposta > Manuais de soluções.
  2. Abra o manual que quer modificar ou crie um novo.
  3. Clique em + Abrir seleção de passos.
  4. Clique no separador Loops.
  5. Arraste a ação Para cada ciclo para a tela do livro de jogadas. Isto cria automaticamente os passos Início do ciclo e Fim do ciclo com uma área designada para adicionar ações entre eles.
  6. Configure o Início do ciclo:
    1. Clique no passo Início do ciclo para abrir a gaveta lateral Para cada ciclo.
      1. No separador Parâmetros, selecione o que Iterar (Entidades ou Lista).
        • Entidades: selecione o âmbito da entidade (Todas as entidades, Entidades suspeitas ou âmbito personalizado).
        • Lista: no campo Itens, introduza a sua lista de itens manualmente ou com um marcador de posição. Defina o delimitador (por exemplo, vírgula ou barra) para separar os itens.
      2. No separador Definições, configure o comportamento do ciclo:
        • Tipo de ação: escolha entre Automático (inicia-se imediatamente) ou Manual (requer a ação do utilizador).
        • Se o passo falhar ou o número máximo de iterações for excedido: selecione se o ciclo deve Ignorar os restantes itens e continuar ou Parar o manual de procedimentos.
  7. Adicione ações antes ou depois do ciclo para preparar dados ou processar os resultados do ciclo.

Limitações

Os links de aprovação não são suportados em ciclos de manuais de soluções.

Trabalhe com visualizações e ciclos de manuais

Esta secção explica como os widgets personalizados e pré-criados apresentam informações de ciclos de manuais de vendas nas vistas e aborda aspetos importantes da visualização de dados gerados por ciclos.

Widgets personalizados

Embora não possa fazer referência diretamente a marcadores de posição de passos de ciclo interno, pode agregar resultados durante a execução do ciclo e apresentá-los no widget. Para apresentar resultados agregados num widget personalizado, use valores de contexto no ciclo (por exemplo, use a ação Anexar ao valor de contexto do power-up Ferramentas).

Widgets pré-criados

A Google fornece widgets pré-criados que se integram perfeitamente com as ações suportadas no criador de guias interativos. Quando arrasta uma ação suportada para o criador de guias de soluções, o sistema sugere widgets pré-criados relevantes. Estes widgets ligam-se diretamente à ação, mesmo quando usados num ciclo.

Ciclos no simulador de guias

O simulador de guias interativos oferece uma visualização detalhada dos guias interativos que incluem ciclos e blocos. Também suporta estruturas aninhadas, como ciclos aninhados em blocos e blocos aninhados em ciclos. No visualizador do simulador, os passos são apresentados de cima para baixo (os mais antigos na parte superior e os mais recentes na parte inferior), com deslocamento automático para mostrar a atividade mais recente.

Para mais informações, consulte o artigo Trabalhe com o Simulador de manuais.

Vista geral do registo

Quando um manual de soluções que contém um ciclo é executado, pode encontrar informações sobre o respetivo progresso e os resultados de cada iteração em várias áreas da página Casos.

As secções seguintes descrevem como os widgets, o visualizador de manuais de soluções e o mural de registos apresentam informações relacionadas com estes ciclos.

Widgets

Os widgets pré-criados em Vista geral do registo resultam das respetivas ações correspondentes. Se a ação for executada num ciclo, o widget é atualizado dinamicamente para mostrar os resultados da iteração do ciclo mais recente.

Visualizador de guias interativos

Quando executa um manual com um ciclo, pode acompanhar o respetivo progresso e os resultados de cada iteração no visualizador de manuais. Para aceder a esta opção, selecione o alerta relevante no registo e clique no separador Playbooks.

O visualizador do manual de soluções apresenta ciclos e blocos numa estrutura hierárquica. Esta organização ajuda a visualizar o fluxo de processos aninhados e a compreender o contexto de cada passo.

No visualizador de manuais de soluções, pode fazer o seguinte:

  • Reveja cada iteração, uma vez que os passos do ciclo estão agrupados.
  • Navegue entre iterações para examinar os resultados individuais.
  • Selecione um passo num ciclo para apresentar um número de iteração no painel lateral.
  • Clique em Ver resultados para mostrar o nome do ciclo e o número de iteração.

Case Wall

Cada resultado das iterações do ciclo aparece no Case Wall, juntamente com uma indicação do ciclo, como o número da iteração. Isto ajuda a monitorizar e diferenciar as ações realizadas durante cada iteração.

Exemplos de utilização

Esta secção oferece exemplos práticos de como os ciclos de manuais de soluções podem ser usados para automatizar diferentes tipos de fluxos de trabalho.

Analise hashes e crie pedidos para hashes maliciosos

Neste exemplo de utilização, siga estes passos:

  1. Analise os hashes de todos os ficheiros no alerta através do VirusTotal.
  2. Crie automaticamente um pedido único para cada ficheiro identificado como malicioso.

Crie um manual de estratégias com os seguintes passos:

Conclua os passos seguintes para criar um manual de soluções:

  1. Arraste a ação VirusTotal - Enrich Hash para a tela do livro de jogadas e configure-a antes de adicionar o ciclo.
  2. Arraste o Ciclo para cada para a tela.
  3. Clique em Início do ciclo.
    1. No separador Parâmetros, selecione Entidades como o tipo Iterar sobre.
    2. Selecione Todas as entidades marcadas como suspeitas no menu Entidades. Este passo garante que a execução do ciclo está limitada apenas às entidades marcadas como suspeitas pela ação VirusTotal - Enrich Hash no passo anterior.
  4. Arraste uma ação Criar pedido para o ciclo. O nome exato e a configuração desta ação variam consoante a integração do sistema de emissão de bilhetes que está a ser usada.
  5. Na configuração da ação Criar pedido:
    1. Introduza um título do pedido, como Malicious File Detected.
    2. No campo Descrição, use o menu de marcadores de posição para inserir detalhes sobre a entidade atual no ciclo (por exemplo, Entity.Identifier ou Entity.Type). Inclua quaisquer informações relevantes do enriquecimento do VirusTotal, agora associadas à entidade suspeita.

Para cada hash de ficheiro que o VirusTotal identificou como malicioso, é criado um pedido exclusivo com os detalhes relevantes.

Crie pedidos de apoio técnico prioritários para ficheiros maliciosos com base no cargo do utilizador

Neste exemplo de utilização, depois de identificar ficheiros maliciosos (como feito no exemplo de utilização anterior), crie um novo pedido com prioridades diferentes com base no facto de o utilizador interno associado ao ficheiro ter um cargo que contenha "CEO".

Antes de começar, certifique-se de que concluiu os passos iniciais do exemplo de utilização anterior:

  • Uma ação VirusTotal - Enrich Hash antes do ciclo, segmentando todas as entidades de hash de ficheiros.
  • Uma ação For Each Loop que itera sobre entidades com o âmbito definido como Todas as entidades marcadas como suspeitas.

Para criar pedidos prioritários para ficheiros maliciosos, conclua os seguintes passos:

  1. Adicione uma ação condicional no ciclo.
    1. Desative o botão Restringir âmbito à iteração para permitir o acesso a outras entidades de alerta, além da entidade em ciclo.
    2. Selecione Utilizadores internos no menu Entidades.
    3. Configure a condição para verificar se Entity.job contém CEO. Esta ação define a prioridade como CRITICAL.
    4. Use a ramificação ELSE para processar um cenário em que o elemento CEO não está envolvido (isto define a prioridade como HIGH).
  2. Arraste uma ação Criar pedido para o primeiro ramo:
    1. Crie o título (por exemplo, CRITICAL: Malicious File Detected - Potential CEO Impact).
    2. Configure a prioridade do incidente como CRITICAL.
    3. No campo Description (Descrição), inclua detalhes relevantes sobre o utilizador e informações do enriquecimento do VirusTotal.
  3. Arraste outra ação Criar pedido para o ramo ELSE:
    1. Crie o título (por exemplo, Attention: Malicious File Detected).
    2. Configure a prioridade do incidente como ELEVADA.
    3. No campo Description (Descrição), inclua detalhes relevantes sobre o utilizador e informações do enriquecimento do VirusTotal.

Para cada ficheiro malicioso, o manual de procedimentos verifica o cargo do utilizador interno associado. Se o título contiver CEO, é criado um pedido de prioridade CRITICAL. Caso contrário, cria um pedido de prioridade ALTA.

Notifique os utilizadores sobre palavras-passe divulgadas

Uma solução de deteção de fugas de dados fornece uma lista de nomes de utilizador (endereços de email) cujas palavras-passe foram comprometidas numa fuga de dados recente. Quer enviar uma notificação por email personalizada a cada utilizador afetado, em vez de enviar um único email a todos os utilizadores. A lista dos utilizadores afetados está disponível no campo alert.affected_users.

Crie um manual de estratégias com os seguintes passos:

  1. Arraste uma ação de ciclo Para cada para a tela do guia interativo.
  2. Clique no passo Início do ciclo.
    1. No separador Parâmetros, selecione Lista como o tipo Iterar.
    2. No campo Itens, use o marcador de posição alert.affected_users.
  3. Se a lista em alert.affected_users usar um delimitador diferente de uma vírgula, atualize esse delimitador no campo Delimitador.
  4. Arraste a ação Email – Enviar email para o ciclo.
  5. Na configuração da ação Email – Enviar email:
    1. No campo Destinatários, use o marcador de posição Loop.Item. Quando o ciclo List itera sobre a lista alert.affected_users, o marcador de posição Loop.Item representa o endereço de email atual que está a ser processado, para que cada utilizador receba um email único.
    2. Configure o Assunto e o Conteúdo do email para informar o utilizador acerca da palavra-passe comprometida.

Cada utilizador (endereço de email) na lista alert.affected_users recebe uma notificação por email personalizada sobre a respetiva palavra-passe comprometida.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.