動的モードでインスタンスを指定する

以下でサポートされています。

このドキュメントでは、プレイブック ステップで動的モード オプションを選択するときにインスタンス名を指定する方法について説明します。動的モードは、主に複数の環境(またはすべての環境)のハンドブックを構築し、ハンドブックが実行時にターゲット環境からインスタンスを動的に選択する場合に使用されます。[Specify instance name] フィールドは、環境ごとに 2 つ以上の統合インスタンスを定義し、アナリストが手動で選択するために停止して待つ必要がないように、ハンドブックで正しいインスタンスを自動的に選択する場合に使用します。

インスタンス名を動的に指定する

複数の環境のハンドブックを作成する場合は、[インスタンス名を指定] と組み合わせて [動的モード] を選択します。これにより、フリーテキストまたはプレースホルダを使用して、各アクションで使用するインスタンスを動的に定義できます。プレースホルダを使用してインスタンス名をパターンで定義するか、フロー条件を使用して各インスタンスを使用する条件を定義できます。名前付きインスタンスが見つからない場合に使用するデフォルトのフォールバック インスタンスを指定することもできます。

動的モードで使用するインスタンス名を指定する方法は主に 3 つあります。

  • インスタンス名の指定フィールドでプレースホルダを使用する
  • インスタンス名の指定フィールドでエンティティ プレースホルダを使用する
  • 静的インスタンス名とフロー条件ステップを使用する

ユースケース: インスタンス名の指定フィールドでプレースホルダを使用する

インスタンス名が予測可能なパターンに従っている場合は、アラートのプレースホルダを使用して、使用するインスタンスを定義できます。次の例では、[インスタンス名を指定] フィールドでアラートのプレースホルダを使用しています。

Active Directory の統合で 2 つのインスタンス(ActiveDirectory_UKActiveDirectory_US)が定義されています。取り込まれたアラートには、location というフィールドが含まれています。このフィールドを使用するには、[インスタンス名を指定] フィールドで [alert.location] プレースホルダを使用します。

ユースケース: インスタンス名の指定フィールドでエンティティ プレースホルダを使用する

[Specify instance name] フィールドでエンティティ プレースホルダを使用するときに正しいエンティティを返すには、Siemplify Power Ups Tool Buffer アクションを使用する必要があります。このアクションは、エンティティ プレースホルダのスコープを設定して、結果が 1 つだけ返されるようにします。次の手順では、正しいエンティティを取得するように設定する方法について説明します。

  1. [Tools_Buffer] アクション > [エンティティ] リストで、使用するスコープ([宛先ユーザー] など)を選択します。
  2. [結果値] フィールドに、プレースホルダ [Entity.location] を挿入します。このアクションの結果は、移行先ユーザーのみにスコープ設定されたプレースホルダ [Entity.location] になります。
  3. 次のプレイブック ステップ(例: VirusTotal_Enrich Hash)で、[動的モード] を選択し、[インスタンス名を指定] フィールドで、プレースホルダ オプションから VirusTotal_[Tools_Buffer_1.ScriptResult] を選択します。

ユースケース: 静的インスタンス名とフロー条件を使用する

インスタンス名が予測可能なパターンに従っていない場合でも、[条件] ステップを使用して、アラートのパラメータに基づいてインスタンスを動的に選択できます。次の例は、使用する正しいインスタンスを返すように、さまざまな条件分岐を設定する方法を示しています。この例では、アラート ルール ジェネレータの条件を使用し、Email_1Email_2 という名前のメール統合で 2 つのインスタンスが設定されていることを前提としています。条件の結果に基づいて、ハンドブックは異なるブランチで実行され、正しいインスタンスが選択されます。したがって、アラート ルール ジェネレータが Cloud Email の場合、プレイブックは Email_1 という名前のインスタンスを使用する最初のブランチで実行されます。設定手順は次のとおりです。

  • フロー条件ステップで、次の情報を入力します。
    • アラートルールの生成ツールが Cloud Email detection の場合:
      1. ブランチ 1 に移動します。
      2. ブランチ 1 の最初のステップで、[Dynamic Mode > Specify Instance name] を選択し、「Email_1」と入力します。
      3. [保存] をクリックします。
    • アラート ルール ジェネレータが on-premises Email と等しい場合:
      1. ブランチ 2 に移動します。
      2. ブランチ 2 の最初のステップで、[Dynamic Mode > Specify Instance name] を選択し、「Email_2」と入力します。
      3. [保存] をクリックします。
        インスタンス名を設定する方法を示す条件付きステップ

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。