Cómo especificar una instancia en el modo dinámico

Compatible con:

En este documento, se explica cómo especificar un nombre de instancia cuando seleccionas la opción modo dinámico en un paso del playbook. El modo dinámico se usa principalmente cuando se crea una guía para varios entornos (o todos los entornos) para que la guía seleccione de forma dinámica la instancia del entorno de destino en el tiempo de ejecución. El campo para especificar el nombre de la instancia se usa cuando defines dos o más instancias de integración para cada entorno y deseas que la guía seleccione la correcta automáticamente, sin tener que detenerte y esperar a que el analista la elija de forma manual.

Cómo especificar un nombre de instancia de forma dinámica

Cuando creas un playbook para varios entornos, selecciona Modo dinámico junto con Especificar nombre de instancia para que puedas definir de forma dinámica qué instancia usar para cada acción con texto libre o marcadores de posición. Puedes usar marcadores de posición, que te permiten definir el nombre de la instancia como un patrón, o bien usar condiciones de flujo, que te permiten definir las condiciones para usar cada instancia. También puedes especificar una instancia de resguardo predeterminada para usar si no se encuentra la instancia con nombre.

Existen tres formas principales de especificar el nombre de la instancia que se usará en el modo dinámico:

  • Usa marcadores de posición en el campo para especificar el nombre de la instancia
  • Cómo usar marcadores de posición de entidades en el campo de especificación del nombre de la instancia
  • Usa el nombre de instancia estático y el paso de condición de flujo

Caso de uso: Usa marcadores de posición en el campo de especificación del nombre de la instancia

Si los nombres de tus instancias siguen un patrón predecible, puedes usar marcadores de posición de alertas para definir qué instancia usar. En el siguiente ejemplo, se usa el marcador de posición de alerta en el campo Specify instance name.

Se definen dos instancias en la integración de Active Directory: ActiveDirectory_UK y ActiveDirectory_US. La alerta ingerida contiene un campo llamado location. Para usar este campo, usa el marcador de posición [alert.location] en el campo Especificar nombre de instancia.

Caso de uso: Usa marcadores de posición de entidades en el campo de especificación del nombre de la instancia

Para devolver la entidad correcta cuando se usan marcadores de posición de entidades en el campo Specify instance name, debes usar la acción Siemplify Power Ups Tool Buffer. Esta acción define el alcance del marcador de posición de la entidad para garantizar que solo se muestre un resultado. En el siguiente procedimiento, se muestra cómo configurar la recuperación de la entidad correcta:

  1. En la acción Tools_Buffer > lista Entities, selecciona el alcance que deseas usar (por ejemplo, Usuarios de destino).
  2. En el campo Valor del resultado, inserta el marcador de posición [Entity.location]. El resultado de esta acción será el marcador de posición [Entity.location], que solo se aplicará a los usuarios de destino.
  3. En el siguiente paso del playbook, por ejemplo, VirusTotal_Enrich Hash, selecciona Modo dinámico y, en el campo Especificar nombre de instancia, selecciona VirusTotal_[Tools_Buffer_1.ScriptResult] en las opciones de marcador de posición.

Caso de uso: Usa el nombre de instancia estático y la condición de flujo

Si los nombres de tus instancias no siguen un patrón predecible, puedes seleccionar de forma dinámica una instancia según los parámetros de tu alerta con el paso Condiciones. En el siguiente ejemplo, se muestra cómo configurar diferentes ramas condicionales para devolver la instancia correcta que se usará. En el ejemplo, se usa la condición Alert Rule Generator y se basa en que se configuraron dos instancias en la integración de correo electrónico llamada Email_1 y Email_2. Según el resultado de la condición, la guía se ejecutará en diferentes ramas y, por lo tanto, elegirá la instancia correcta. Por lo tanto, si el generador de reglas de alerta es igual a Cloud Email, el playbook se ejecutará en la primera rama que use la instancia llamada Email_1. Para configurar esta opción, haz lo siguiente:

  • En el paso de condición del flujo, ingresa la siguiente información:
    • Si el generador de reglas de alertas es igual a Cloud Email detection, haz lo siguiente:
      1. Ve a la rama uno.
      2. En el paso inicial de la rama uno, selecciona Modo dinámico > Especificar nombre de instancia y, luego, ingresa Email_1.
      3. Haz clic en Guardar.
    • Si el generador de reglas de alertas es igual a on-premises Email, haz lo siguiente:
      1. Ve a la rama dos.
      2. En el primer paso de la rama dos, selecciona Modo dinámico > Especificar nombre de instancia y, luego, ingresa Email_2.
      3. Haz clic en Guardar.
        Paso condicional que muestra cómo configurar el nombre de la instancia

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.