Especificar una instancia en modo dinámico

Disponible en:

En este documento se explica cómo especificar un nombre de instancia al seleccionar la opción Modo dinámico en un paso de una guía. El modo Dinámico se usa principalmente cuando se crea una guía para varios entornos (o para todos los entornos) de forma que la guía seleccione dinámicamente la instancia del entorno de destino en el tiempo de ejecución. El campo para especificar el nombre de la instancia se usa cuando defines dos o más instancias de integración para cada entorno y quieres que la guía seleccione la correcta automáticamente, sin tener que detenerse y esperar a que el analista elija manualmente.

Especificar un nombre de instancia de forma dinámica

Cuando crees un manual de procedimientos para varios entornos, selecciona Modo dinámico junto con Especificar nombre de instancia para poder definir dinámicamente qué instancia quieres usar en cada acción mediante texto libre o marcadores de posición. Puedes usar marcadores de posición, que te permiten definir el nombre de la instancia como un patrón, o bien usar condiciones de flujo, que te permiten definir las condiciones de cuándo usar cada instancia. También puedes especificar una instancia alternativa predeterminada que se usará si no se encuentra la instancia con nombre.

Hay tres formas principales de especificar el nombre de la instancia que se va a usar en el modo dinámico:

  • Usar marcadores de posición en el campo de nombre de instancia
  • Usar marcadores de posición de entidades en el campo de nombre de instancia
  • Usar el nombre de instancia estático y el paso de condición de flujo

Caso práctico: usar marcadores de posición en el campo de nombre de instancia

Si los nombres de tus instancias siguen un patrón predecible, puedes usar marcadores de posición de alertas para definir qué instancia quieres usar. En el siguiente ejemplo se usa el marcador de posición de alerta en el campo Especificar nombre de instancia.

Se definen dos instancias en la integración de Active Directory: ActiveDirectory_UK y ActiveDirectory_US. La alerta insertada contiene un campo llamado location. Para usar este campo, utilice el marcador de posición [alert.location] en el campo Especificar nombre de instancia.

Caso práctico: usar marcadores de posición de entidades en el campo de nombre de instancia

Para devolver la entidad correcta al usar marcadores de posición de entidades en el campo Especificar nombre de instancia, debes usar la acción Búfer de herramientas de Siemplify Power Ups. Esta acción limita el espacio del marcador de posición de la entidad para asegurarse de que solo se devuelva un resultado. En el siguiente procedimiento se muestra cómo configurar la recuperación de la entidad correcta:

  1. En la acción Tools_Buffer > lista Entidades, selecciona el ámbito que quieras usar (por ejemplo, Usuarios de destino).
  2. En el campo Valor del resultado, inserta el marcador de posición [Entity.location]. El resultado de esta acción será el marcador de posición [Entity.location] limitado a los usuarios de destino.
  3. En el siguiente paso del cuaderno de estrategias, por ejemplo, VirusTotal_Enrich Hash, seleccione Modo dinámico y, en el campo Especificar nombre de instancia, seleccione VirusTotal_[Tools_Buffer_1.ScriptResult]en las opciones de marcador de posición.

Caso práctico: usar el nombre de instancia estático y la condición de flujo

Si los nombres de tus instancias no siguen un patrón predecible, puedes seleccionar dinámicamente una instancia en función de los parámetros de tu alerta mediante el paso Condiciones. En el siguiente ejemplo se muestra cómo configurar diferentes ramas condicionales para devolver la instancia correcta que se va a usar. En el ejemplo se usa la condición Generador de reglas de alerta y se presupone que se han configurado dos instancias en la integración de correo electrónico denominada Email_1 y Email_2. En función del resultado de la condición, el playbook se ejecutará en diferentes ramas y, por lo tanto, elegirá la instancia correcta. Por lo tanto, si el generador de reglas de alerta es igual a Cloud Email, la guía se ejecutará en la primera rama, que usa la instancia llamada Email_1. Para configurarlo, sigue estos pasos:

  • En el paso de condición del flujo, introduce la siguiente información:
    • Si el generador de reglas de alertas es igual a Cloud Email detection:
      1. Ve a la sucursal 1.
      2. En el paso inicial de la rama 1, selecciona Modo dinámico > Especificar nombre de instancia e introduce Email_1.
      3. Haz clic en Guardar.
    • Si el generador de reglas de alerta es igual a on-premises Email:
      1. Ve a la rama dos.
      2. En el primer paso de la segunda rama, selecciona Modo dinámico > Especificar nombre de instancia e introduce Email_2.
      3. Haz clic en Guardar.
        Paso condicional que muestra cómo configurar el nombre de la instancia

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.