Especificar uma instância no modo dinâmico

Compatível com:

Este documento explica como especificar um nome de instância ao selecionar a opção modo dinâmico em uma etapa de playbook. O modo dinâmico é usado principalmente ao criar um playbook para vários ambientes (ou todos os ambientes) para que ele selecione dinamicamente a instância do ambiente de destino no momento da execução. O campo "Especificar nome da instância" é usado quando você define duas ou mais instâncias de integração para cada ambiente e quer que o playbook selecione a correta automaticamente, sem precisar parar e esperar que o analista escolha manualmente.

Especificar um nome de instância dinamicamente

Ao criar um playbook para vários ambientes, selecione Modo dinâmico e Especificar nome da instância para definir dinamicamente qual instância usar em cada ação usando texto livre ou marcadores de posição. É possível usar marcadores de posição, que permitem definir o nome da instância como um padrão, ou usar condições de fluxo, que permitem definir as condições de quando usar cada instância. Também é possível especificar uma instância alternativa padrão para usar se a instância nomeada não for encontrada.

Há três maneiras principais de especificar o nome da instância a ser usada no modo dinâmico:

  • Usar marcadores de posição no campo "Especificar nome da instância"
  • Usar marcadores de posição de entidade no campo "Especificar nome da instância"
  • Usar o nome da instância estática e a etapa de condição do fluxo

Caso de uso: usar marcadores de posição no campo "Especificar nome da instância"

Se os nomes das instâncias seguirem um padrão previsível, use marcadores de posição de alerta para definir qual instância usar. O exemplo a seguir usa o marcador de posição de alerta no campo Especificar nome da instância.

Duas instâncias são definidas na integração do Active Directory: ActiveDirectory_UK e ActiveDirectory_US. O alerta ingerido contém um campo chamado location. Para usar esse campo, use o marcador de posição [alert.location] no campo Especificar nome da instância.

Caso de uso: usar marcadores de posição de entidade no campo "Especificar nome da instância"

Para retornar a entidade correta ao usar marcadores de posição de entidade no campo Especificar nome da instância, use a ação Buffer da ferramenta Siemplify Power Ups. Essa ação define o escopo do marcador de posição da entidade para garantir que apenas um resultado seja retornado. O procedimento a seguir mostra como configurar a recuperação da entidade correta:

  1. Na ação Tools_Buffer > lista Entidades, selecione o escopo que você quer usar (por exemplo, Usuários de destino).
  2. No campo Valor do resultado, insira o marcador [Entity.location]. O resultado dessa ação será o marcador de posição [Entity.location] com escopo apenas para usuários de destino.
  3. Na próxima etapa do playbook, por exemplo, VirusTotal_Enrich Hash, selecione Modo dinâmico e, no campo Especificar nome da instância, selecione VirusTotal_[Tools_Buffer_1.ScriptResult] nas opções de marcador de posição.

Caso de uso: usar o nome da instância estática e a condição de fluxo

Se os nomes das instâncias não seguirem um padrão previsível, ainda será possível selecionar uma instância de forma dinâmica com base nos parâmetros do alerta usando a etapa Condições. O exemplo a seguir mostra como configurar diferentes ramificações condicionais para retornar a instância correta a ser usada. O exemplo usa a condição do Gerador de regras de alerta e depende de duas instâncias configuradas na integração de e-mail chamada Email_1 e Email_2. Com base no resultado da condição, o playbook será executado em ramificações diferentes e, portanto, escolherá a instância correta. Assim, se o gerador de regras de alerta for igual a Cloud Email, o playbook será executado na primeira ramificação, que usa a instância chamada Email_1. Para configurar isso, faça o seguinte:

  • Na etapa de condição do fluxo, insira as seguintes informações:
    • Se o gerador de regras de alerta for igual a Cloud Email detection:
      1. Vá para a ramificação um.
      2. Na etapa inicial da ramificação 1, selecione Modo dinâmico > Especificar nome da instância e insira Email_1.
      3. Clique em Salvar.
    • Se o gerador de regras de alerta for igual a on-premises Email:
      1. Acesse a ramificação dois.
      2. Na primeira etapa da ramificação dois, selecione Modo dinâmico > Especificar nome da instância e insira Email_2.
      3. Clique em Salvar.
        Etapa condicional mostrando como configurar o nome da instância

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.