동적 모드에서 인스턴스 지정

다음에서 지원:

이 문서에서는 플레이북 단계에서 동적 모드 옵션을 선택할 때 인스턴스 이름을 지정하는 방법을 설명합니다. 동적 모드는 주로 여러 환경(또는 모든 환경)의 플레이북을 빌드할 때 사용됩니다. 플레이북이 런타임에 타겟 환경에서 인스턴스를 동적으로 선택할 수 있습니다. 인스턴스 이름 지정 필드는 각 환경에 대해 두 개 이상의 통합 인스턴스를 정의하고 분석사가 수동으로 선택하기 위해 중지하고 기다리지 않고 플레이북이 올바른 인스턴스를 자동으로 선택하도록 하려는 경우에 사용됩니다.

인스턴스 이름을 동적으로 지정

여러 환경의 플레이북을 만들 때 인스턴스 이름 지정과 함께 동적 모드를 선택하면 자유 형식 텍스트 또는 자리표시자를 사용하여 각 작업에 사용할 인스턴스를 동적으로 정의할 수 있습니다. 인스턴스 이름을 패턴으로 정의할 수 있는 자리표시자를 사용하거나 각 인스턴스를 사용할 시점을 정의할 수 있는 흐름 조건을 사용할 수 있습니다. 이름이 지정된 인스턴스를 찾을 수 없는 경우 사용할 기본 대체 인스턴스를 지정할 수도 있습니다.

동적 모드에서 사용할 인스턴스 이름을 지정하는 방법은 세 가지가 있습니다.

  • 인스턴스 이름 지정 필드에 자리표시자 사용
  • 인스턴스 이름 지정 필드에서 엔티티 자리표시자 사용
  • 정적 인스턴스 이름 및 흐름 조건 단계 사용

사용 사례: 인스턴스 이름 지정 필드에 자리표시자 사용

인스턴스 이름이 예측 가능한 패턴을 따르는 경우 알림 자리표시자를 사용하여 사용할 인스턴스를 정의할 수 있습니다. 다음 예에서는 인스턴스 이름 지정 필드에 알림 자리표시자를 사용합니다.

Active Directory 통합에는 ActiveDirectory_UKActiveDirectory_US의 두 인스턴스가 정의되어 있습니다. 수집된 알림에 location라는 필드가 포함되어 있습니다. 이 필드를 사용하려면 인스턴스 이름 지정 필드에서 [alert.location] 자리표시자를 사용하세요.

사용 사례: 인스턴스 이름 지정 필드에서 항목 자리표시자 사용

인스턴스 이름 지정 필드에서 엔티티 자리표시자를 사용할 때 올바른 엔티티를 반환하려면 Siemplify Power Ups Tool Buffer 작업을 사용해야 합니다. 이 작업은 결과가 하나만 반환되도록 항목 자리표시자의 범위를 지정합니다. 다음 절차에서는 올바른 항목을 가져오도록 설정하는 방법을 보여줍니다.

  1. Tools_Buffer 작업 > Entities 목록에서 사용할 범위를 선택합니다 (예: Destination users).
  2. 결과 값 필드에 자리표시자 [Entity.location]를 삽입합니다. 이 작업의 결과는 대상 사용자에게만 범위가 지정된 자리표시자 [Entity.location]입니다.
  3. 다음 플레이북 단계(예: VirusTotal_Enrich Hash)에서 동적 모드를 선택하고 인스턴스 이름 지정 필드에서 자리표시자 옵션 중 VirusTotal_[Tools_Buffer_1.ScriptResult]을 선택합니다.

사용 사례: 정적 인스턴스 이름 및 흐름 조건 사용

인스턴스 이름이 예측 가능한 패턴을 따르지 않는 경우에도 조건 단계를 사용하여 알림의 매개변수를 기반으로 인스턴스를 동적으로 선택할 수 있습니다. 다음 예에서는 사용할 올바른 인스턴스를 반환하도록 여러 조건부 분기를 설정하는 방법을 보여줍니다. 이 예에서는 Alert Rule Generator 조건을 사용하며, Email_1Email_2라는 이메일 통합 아래에 두 인스턴스가 설정되어 있다고 가정합니다. 조건 결과에 따라 플레이북이 다른 브랜치에서 실행되므로 올바른 인스턴스를 선택합니다. 따라서 알림 규칙 생성기가 Cloud Email인 경우 Email_1이라는 인스턴스를 사용하는 첫 번째 브랜치에서 플레이북이 실행됩니다. 이를 설정하려면 다음 단계를 따르세요.

  • 흐름 조건 단계에서 다음 정보를 입력합니다.
    • 알림 규칙 생성기가 Cloud Email detection인 경우 다음을 실행합니다.
      1. 첫 번째 분기로 이동합니다.
      2. 첫 번째 브랜치의 초기 단계에서 동적 모드 > 인스턴스 이름 지정을 선택하고 Email_1을 입력합니다.
      3. 저장을 클릭합니다.
    • 알림 규칙 생성기가 on-premises Email인 경우:
      1. 두 번째 분기로 이동합니다.
      2. 두 번째 분기의 첫 번째 단계에서 동적 모드 > 인스턴스 이름 지정을 선택하고 Email_2를 입력합니다.
      3. 저장을 클릭합니다.
        인스턴스 이름을 설정하는 방법을 보여주는 조건부 단계

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.