Spécifier une instance en mode dynamique

Compatible avec :

Ce document explique comment spécifier un nom d'instance lorsque vous sélectionnez l'option mode dynamique dans une étape de playbook. Le mode dynamique est principalement utilisé lors de la création d'un playbook pour plusieurs environnements (ou tous les environnements). Il permet au playbook de sélectionner dynamiquement l'instance de l'environnement cible lors de l'exécution. Le champ "Spécifier le nom de l'instance" est utilisé lorsque vous définissez au moins deux instances d'intégration pour chaque environnement et que vous souhaitez que le playbook sélectionne automatiquement la bonne instance, sans avoir à s'arrêter et à attendre que l'analyste la choisisse manuellement.

Spécifier un nom d'instance de manière dynamique

Lorsque vous créez un playbook pour plusieurs environnements, sélectionnez Mode dynamique en même temps que Spécifier le nom de l'instance. Vous pourrez ainsi définir de manière dynamique l'instance à utiliser pour chaque action à l'aide de texte libre ou d'espaces réservés. Vous pouvez utiliser des espaces réservés, qui vous permettent de définir le nom de l'instance selon un modèle, ou des conditions de flux, qui vous permettent de définir les conditions d'utilisation de chaque instance. Vous pouvez également spécifier une instance de secours par défaut à utiliser si l'instance nommée est introuvable.

Il existe trois manières principales de spécifier le nom de l'instance à utiliser en mode dynamique :

  • Utiliser des espaces réservés dans le champ "Spécifier le nom de l'instance"
  • Utiliser des espaces réservés d'entité dans le champ "Spécifier le nom de l'instance"
  • Utiliser le nom d'instance statique et l'étape de condition de flux

Cas d'utilisation : utiliser des espaces réservés dans le champ "Spécifier le nom de l'instance"

Si les noms de vos instances suivent un modèle prévisible, vous pouvez utiliser des espaces réservés d'alerte pour définir l'instance à utiliser. L'exemple suivant utilise l'espace réservé pour les alertes dans le champ Spécifier le nom de l'instance.

Deux instances sont définies dans l'intégration Active Directory : ActiveDirectory_UK et ActiveDirectory_US. L'alerte ingérée contient un champ appelé location. Pour utiliser ce champ, utilisez l'espace réservé [alert.location] dans le champ Spécifier le nom de l'instance.

Cas d'utilisation : utiliser des espaces réservés d'entité dans le champ "Spécifier le nom de l'instance"

Pour renvoyer la bonne entité lorsque vous utilisez des espaces réservés d'entité dans le champ Spécifier le nom de l'instance, vous devez utiliser l'action Siemplify Power Ups Tool Buffer. Cette action définit le champ d'application du substitut d'entité pour s'assurer qu'un seul résultat est renvoyé. La procédure suivante montre comment configurer la récupération de l'entité appropriée :

  1. Dans la liste Entités de l'action Tools_Buffer >, sélectionnez le champ d'application que vous souhaitez utiliser (par exemple, Utilisateurs de destination).
  2. Dans le champ Valeur du résultat, insérez l'espace réservé [Entity.location]. Cette action générera le code de substitution [Entity.location], qui ne sera visible que par les utilisateurs de destination.
  3. Dans l'étape suivante du playbook, par exemple VirusTotal_Enrich Hash, sélectionnez Mode dynamique, puis, dans le champ Spécifier le nom de l'instance, sélectionnez VirusTotal_[Tools_Buffer_1.ScriptResult] parmi les options d'espace réservé.

Cas d'utilisation : utiliser le nom d'instance statique et la condition de flux

Si les noms de vos instances ne suivent pas un modèle prévisible, vous pouvez toujours sélectionner dynamiquement une instance en fonction des paramètres de votre alerte à l'étape Conditions. L'exemple suivant montre comment configurer différentes branches conditionnelles pour renvoyer l'instance correcte à utiliser. L'exemple utilise la condition Alert Rule Generator et repose sur la configuration de deux instances sous l'intégration d'e-mails nommée Email_1 et Email_2. En fonction du résultat de la condition, le playbook s'exécutera sur différentes branches et choisira donc la bonne instance. Ainsi, si le générateur de règles d'alerte est égal à Cloud Email, le playbook s'exécutera sur la première branche qui utilise l'instance nommée Email_1. Pour configurer cette fonctionnalité, procédez comme suit :

  • À l'étape de la condition de flux, saisissez les informations suivantes :
    • Si le générateur de règles d'alerte est égal à Cloud Email detection :
      1. Accédez à la branche 1.
      2. À la première étape de la branche 1, sélectionnez Mode dynamique> Spécifier le nom de l'instance, puis saisissez Email_1.
      3. Cliquez sur Enregistrer.
    • Si le générateur de règles d'alerte est égal à on-premises Email :
      1. Passez à la branche 2.
      2. À la première étape de la branche 2, sélectionnez Mode dynamique> Spécifier le nom de l'instance et saisissez Email_2.
      3. Cliquez sur Enregistrer.
        Étape conditionnelle montrant comment configurer le nom de l'instance

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.