Especifique uma instância no modo dinâmico

Compatível com:

Este documento explica como especificar um nome de instância quando seleciona a opção modo dinâmico num passo do manual de soluções. O modo dinâmico é usado principalmente quando cria um manual de estratégias para vários ambientes (ou todos os ambientes) para que o manual de estratégias selecione dinamicamente a instância do ambiente de destino no momento da execução. O campo de especificação do nome da instância é usado quando define duas ou mais instâncias de integração para cada ambiente e quer que o manual de procedimentos selecione automaticamente a correta, sem ter de parar e esperar que o analista escolha manualmente.

Especifique um nome de instância dinamicamente

Quando cria um plano de ação para vários ambientes, selecione Modo dinâmico juntamente com Especificar nome da instância para poder definir dinamicamente que instância usar para cada ação através de texto livre ou marcadores de posição. Pode usar marcadores de posição, que lhe permitem definir o nome da instância como um padrão, ou usar condições de fluxo, que lhe permitem definir as condições de quando usar cada instância. Também pode especificar uma instância alternativa predefinida a usar se não for possível encontrar a instância com nome.

Existem três formas principais de especificar o nome da instância a usar no modo dinâmico:

  • Use marcadores de posição no campo do nome da instância especificada
  • Use marcadores de posição de entidades no campo de especificação do nome da instância
  • Use o nome da instância estática e o passo de condição do fluxo

Exemplo de utilização: use marcadores de posição no campo do nome da instância especificada

Se os nomes das instâncias seguirem um padrão previsível, pode usar marcadores de posição de alertas para definir que instância usar. O exemplo seguinte usa o marcador de posição de alerta no campo Especificar nome da instância.

Duas instâncias são definidas na integração do Active Directory: ActiveDirectory_UK e ActiveDirectory_US. O alerta carregado contém um campo denominado location. Para usar este campo, use o marcador de posição [alert.location] no campo Especifique o nome da instância.

Exemplo de utilização: use marcadores de posição de entidades no campo do nome da instância especificada

Para devolver a entidade correta quando usar marcadores de posição de entidades no campo Specify instance name, tem de usar a ação Siemplify Power Ups Tool Buffer. Esta ação restringe o marcador de posição da entidade para garantir que é devolvido apenas um resultado. O procedimento seguinte mostra como configurar a obtenção da entidade correta:

  1. Na ação Tools_Buffer > lista Entities, selecione o âmbito que quer usar (por exemplo, Destination users).
  2. No campo Valor do resultado, insira o marcador de posição [Entity.location]. O resultado desta ação é o marcador de posição [Entity.location] limitado apenas aos utilizadores de destino.
  3. No passo seguinte do manual de soluções, por exemplo, VirusTotal_Enrich Hash, selecione Modo dinâmico e, no campo Especificar nome da instância, selecione VirusTotal_[Tools_Buffer_1.ScriptResult]nas opções de marcadores de posição.

Exemplo de utilização: use o nome da instância estática e a condição de fluxo

Se os nomes das suas instâncias não seguirem um padrão previsível, ainda pode selecionar dinamicamente uma instância com base nos parâmetros do seu alerta através do passo Condições. O exemplo seguinte mostra como configurar diferentes ramificações condicionais para devolver a instância correta a usar. O exemplo usa a condição Alert Rule Generator e baseia-se na configuração de duas instâncias na integração de email denominada Email_1 e Email_2. Com base no resultado da condição, o manual de soluções é executado em ramos diferentes e, por conseguinte, escolhe a instância correta. Assim, se o gerador de regras de alerta for igual a Cloud Email, o manual de soluções é executado na primeira ramificação, que usa a instância denominada Email_1. Para configurar esta opção, faça o seguinte:

  • No passo da condição do fluxo, introduza as seguintes informações:
    • Se o gerador de regras de alerta for igual a Cloud Email detection:
      1. Aceda à ramificação um.
      2. No passo inicial do ramo um, selecione Modo dinâmico > Especificar nome da instância e introduza Email_1.
      3. Clique em Guardar.
    • Se o gerador de regras de alerta for igual a on-premises Email:
      1. Aceda à ramificação dois.
      2. No primeiro passo do ramo dois, selecione Modo dinâmico > Especificar nome da instância e introduza Email_2.
      3. Clique em Guardar.
        Passo condicional que mostra como configurar o nome da instância

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.