Utiliser des flux dans les playbooks

Compatible avec :

Ce document explique comment le composant Flow dirige les prochaines étapes d'un playbook à l'aide d'un système de branchement pour prendre des décisions.

Les flux de conditions sont essentiels pour permettre à un playbook de prendre des décisions automatiquement. Ils permettent de rediriger une demande vers différents chemins en fonction des données d'alerte entrantes, des résultats des actions précédentes ou des saisies utilisateur.

Les options de flux suivantes sont disponibles :

  • Condition : conditions complexes basées sur des espaces réservés, des données de cas existantes et le flux Actions précédentes.
  • Question à choix multiples : questions auxquelles les analystes doivent répondre manuellement.
  • Conditions des actions précédentes : données récupérées à partir des actions précédentes exécutées dans le playbook.

Ajouter des flux de conditions

Cette section explique comment utiliser les flux de conditions pour créer une logique dynamique et ramifiée dans vos playbooks.

Ajouter un flux de condition unique

Pour ajouter un flux de condition unique, procédez comme suit :

  1. Sur la page Réponse > Playbooks, cliquez sur Ouvrir la sélection d'étapes.
  2. Dans Sélection de l'étape, sélectionnez la section Flux.
  3. Faites glisser la condition vers l'étape ou entre deux actions, selon la façon dont vous créez votre playbook.
  4. Double-cliquez sur la condition pour ouvrir la boîte de dialogue.
  5. Sélectionnez les entités requises.
  6. Déterminez le nombre de branches que vous souhaitez créer. Chaque branche est séparée par un OR.
  7. Sélectionnez et ajoutez des paramètres pour chaque branche, comme suit :
    1. Sélectionnez les paramètres d'événement/d'incident/d'alerte ou les données enrichies requises qui se trouvent dans votre plate-forme Google Security Operations. Pour les nouveaux utilisateurs, ce champ est vide si vous n'avez pas encore ingéré d'alertes.
    2. Sélectionnez l'opérateur requis : Est égal(e) à/N'est pas égal(e) à, Contient/Ne contient pas, Commence par ou Supérieur à/Inférieur à
    3. Choisissez une valeur. Pour cet exemple, choisissez trois branches (la troisième étant la branche par défaut Else).
      • Dans la branche 1 : alertes bloquées ou alertes sans signature de menace, puis effectuez l'étape X (l'étape suivante du playbook).
        Branche 1 : opérateur logique défini sur Or.
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] Empty
      • Dans la branche 2 : alertes autorisées avec une signature de menace.
        Branche 2 : opérateur logique défini sur And
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • Dans la branche 3 : branche Else par défaut.
  8. Définissez une "branche de secours" pour éviter les conditions non remplies. Si une condition est basée sur des actions précédentes et que l'une de ces actions a échoué (et a été ignorée), la condition passe à la branche de secours au lieu de s'arrêter. Pour sélectionner une branche de secours, consultez Définir une branche de secours.
  9. Cliquez sur Enregistrer. Le playbook comporte désormais trois branches : 1, 2 et E (Autre).
  10. Définissez le résultat d'au moins une branche pour marquer le playbook comme terminé.

Ajouter un flux de questions à choix multiples

  1. Faites glisser la condition Questions à choix multiples vers la zone Étape finale.
  2. Cliquez sur Questions à choix multiples pour ouvrir la boîte de dialogue.
  3. Ajoutez une question avec autant de réponses que nécessaire.
  4. Cliquez sur Enregistrer. Le playbook ouvre quatre branches.
  5. Définissez le résultat d'au moins une branche pour la marquer comme terminée.

Ajouter un flux de conditions d'actions précédentes

Pour ajouter un flux de conditions d'actions précédentes :

  1. Faites glisser Conditions des actions précédentes vers la zone Étape finale.
  2. Cliquez sur Conditions d'actions précédentes pour ouvrir la boîte de dialogue.
  3. Déterminez le nombre de branches à créer. Chaque branche est séparée par un OR.
  4. Ajouter un paramètre : sélectionnez le paramètre requis. La liste n'affiche que les résultats du script d'action de ce playbook.
  5. Sélectionnez l'opérateur requis : Est égal(e) à/N'est pas égal(e) à, Contient/Ne contient pas, Commence par ou Supérieur à/Inférieur à
  6. Choisissez la valeur (le résultat de l'action).
  7. Vous pouvez ajouter des paramètres à chaque branche et choisir un opérateur logique : AND ou OR.
  8. Cliquez sur Enregistrer. Le playbook ouvre trois branches : 1, 2 et Else.
  9. Définissez le résultat d'au moins une branche pour terminer le playbook.

Définir une branche de remplacement

  1. Dans l'un des flux (Condition ou Condition d'actions précédentes), sélectionnez la branche à utiliser comme branche de secours. Cet exemple utilise Branch not risky.
    Vous n'êtes pas obligé d'ajouter une branche de secours.
  2. Lorsque le playbook s'exécute et que les actions précédentes échouent, il choisit la branche de secours et poursuit l'exécution.

Supprimer un flux

Lorsque vous supprimez un flux d'un playbook, le système vous invite à supprimer l'intégralité de la branche ou seulement un aspect de celle-ci.

Fusionner des branches

Vous pouvez fusionner différentes branches du playbook en une seule. Pour ce faire, faites glisser une action depuis l'une des branches et déposez-la dans la zone Étape finale d'une autre branche. Le playbook peut se poursuivre ou s'arrêter ici.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.