在动态模式下指定实例

支持的平台:

本文档介绍了如何在 playbook 步骤中选择动态模式选项时指定实例名称。 动态模式主要用于为多个环境(或所有环境)构建 playbook,以便 playbook 在运行时从目标环境中动态选择实例。当您为每个环境定义两个或更多集成实例,并希望 playbook 自动选择正确的实例,而无需停止并等待分析师手动选择时,可以使用“指定实例名称”字段。

动态指定实例名称

为多个环境创建 playbook 时,请同时选择动态模式指定实例名称,以便您可以使用自由文本或占位符动态定义每个操作要使用的实例。您可以使用占位符(用于定义实例名称模式),也可以使用流程条件(用于定义使用每个实例的条件)。您还可以指定在找不到指定实例时要使用的默认回退实例。

在动态模式下,指定要使用的实例名称的方法主要有以下三种:

  • 在“指定实例名称”字段中使用占位符
  • 在“指定实例名称”字段中使用实体占位符
  • 使用静态实例名称和 Flow 条件步骤

使用情形:在“指定实例名称”字段中使用占位符

如果您的实例名称遵循可预测的模式,您可以使用提醒占位符来定义要使用的实例。以下示例在指定实例名称字段中使用了提醒占位符。

在 Active Directory 集成下定义了两个实例:ActiveDirectory_UKActiveDirectory_US。 提取的提醒包含一个名为 location 的字段。如需使用此字段,请在指定实例名称字段中使用 [alert.location] 占位符。

使用情形:在“指定实例名称”字段中使用实体占位符

如需在使用指定实例名称字段中的实体占位符时返回正确的实体,您需要使用 Siemplify Power Ups Tool Buffer 操作。此操作会限定实体占位符的范围,以确保仅返回一个结果。以下过程展示了如何设置以检索正确的实体:

  1. Tools_Buffer 操作 > 实体列表中,选择要使用的范围(例如目标用户)。
  2. 结果值字段中,插入占位符 [Entity.location]。 此操作的结果将是仅面向目标用户的占位符 [Entity.location]
  3. 在下一个 playbook 步骤(例如 VirusTotal_Enrich Hash)中,选择动态模式,然后在指定实例名称字段中,从占位符选项中选择 VirusTotal_[Tools_Buffer_1.ScriptResult]

用例:使用静态实例名称和流量条件

如果实例的名称不遵循可预测的模式,您仍然可以在“条件”步骤中根据提醒的参数动态选择实例。以下示例展示了如何设置不同的条件分支以返回要使用的正确实例。此示例使用 Alert Rule Generator 条件,并依赖于在名为 Email_1Email_2 的电子邮件集成下设置的两个实例。根据条件结果,playbook 将在不同的分支上运行,从而选择正确的实例。因此,如果提醒规则生成器等于 Cloud Email,则 playbook 将在第一个分支上运行,该分支使用名为 Email_1 的实例。如需进行此设置,请执行以下操作:

  • 在流程条件步骤中,输入以下信息:
    • 如果提醒规则生成器等于 Cloud Email detection
      1. 前往分支 1。
      2. 在分支 1 的初始步骤中,依次选择动态模式 > 指定实例名称,然后输入 Email_1
      3. 点击保存
    • 如果提醒规则生成器等于 on-premises Email
      1. 前往分支 2。
      2. 在分支 2 的第一步中,选择动态模式 > 指定实例名称,然后输入 Email_2
      3. 点击保存
        显示如何设置实例名称的条件步骤

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。