ハンドブックでフローを使用する

対応しているプロダクト:

このドキュメントでは、Flow コンポーネントが、分岐システムを使用して意思決定を行い、プレイブックの次のステップを指示する方法について説明します。

条件フローは、ハンドブックが意思決定を行うために不可欠です。受信したアラートデータ、以前のアクションの結果、ユーザー入力に基づいて、ケースを異なるパスにルーティングします。

次のフロー オプションを使用できます。

  • 条件: プレースホルダ、既存のケースデータ、前のアクション フローに基づく複雑な条件。
  • 多肢選択式問題: アナリストが手動で回答する必要がある質問。

条件フローを追加する

このセクションでは、条件フローを使用して、プレイブック内に動的な分岐ロジックを作成する方法について説明します。

1 つの条件フローを追加する

単一の条件フローを追加する手順は次のとおりです。

  1. [レスポンス] > [ハンドブック] ページで、[ステップの選択を開く] をクリックします。
  2. [ステップの選択] で、[フロー] セクションを選択します。
  3. ハンドブックの作成方法に応じて、条件をステップまたは 2 つのアクションの間にドラッグします。
  4. 条件をダブルクリックしてダイアログを開きます。
  5. 必要なエンティティを選択します。プレースホルダを使用している場合、プレースホルダはこのエンティティ グループにスコープ設定されます。
  6. 作成するブランチの数を決定します。各ブランチの間には OR があります。
  7. 次のように、各ブランチのパラメータを選択して追加します。
    1. 既存のプレースホルダのリストから、評価する関連するプレースホルダを選択します。新しいユーザーの場合、アラートをまだ取り込んでいない場合は空になります。
    2. 必要な演算子を選択します([次と等しい]、[次を含まない] など)。
    3. 値を選択します。
  8. 条件が失敗しないように「フォールバック ブランチ」を定義します。条件が以前のアクションに基づいており、それらのアクションのいずれかが失敗(スキップ)した場合、条件は停止せずにフォールバック ブランチに進みます。フォールバック ブランチを選択するには、フォールバック ブランチを定義するをご覧ください。
  9. [保存] をクリックします。ハンドブックは 1、2、E(Else)の 3 つのブランチに分岐します。
  10. (少なくとも)1 つのブランチの結果を設定して、ハンドブックを完了としてマークします。

多肢選択式の質問フローを追加する

  1. [選択式問題] 条件を [最終ステップ] ボックスにドラッグします。
  2. [Multi-Choice Questions] をクリックしてダイアログを開きます。
  3. 必要な数の回答を含む質問を追加します。
  4. [保存] をクリックします。プレイブックは 4 つのブランチを開きます。
  5. 少なくとも 1 つのブランチの結果を設定して、完了マークを付けます。

条件フローを追加する

条件フローを追加する手順は次のとおりです。

  1. [条件] を [最終ステップ] ボックスにドラッグします。
  2. [条件] をクリックしてダイアログを開きます。
  3. 作成するブランチの数を決定します。各ブランチの間には OR があります。
  4. パラメータを追加する: 必要なパラメータを選択します。このリストには、このプレイブックのアクション スクリプトの結果のみが表示されます。
  5. 必要な演算子([次に等しい/次に等しくない]、[次を含む/次を含まない]、[次から始まる]、[次より大きい/次より小さい])を選択します。
  6. 値(アクションの結果)を選択します。
  7. 各ブランチにパラメータを追加し、論理演算子(AND または OR)を選択できます。
  8. [保存] をクリックします。Playbook は、12Else の 3 つのブランチを開きます。
  9. ハンドブックを完了するには、少なくとも 1 つのブランチの結果を設定します。

フォールバック ブランチを定義する

  1. いずれかのフロー(条件)で、フォールバック ブランチとして使用するブランチを選択します。この例では、Branch – not risky を使用しています。フォールバック ブランチを追加する必要はありません。
  2. ハンドブックの実行時に、以前のアクションが失敗すると、ハンドブックはフォールバック ブランチを選択して続行します。

ステップの失敗を管理する

ハンドブックの手順は実行中に失敗することがあります。デフォルトでは、ハンドブックはステップが失敗した場合に停止するように設計されています。これは、不完全または不正確なデータで続行することを防ぐための重要な安全メカニズムです。ただし、ステップが期待どおりの結果を返さなくても、プレイブックを続行したい場合があります。これは、検索対象のデータがすべてのケースに存在するとは限らないエンリッチメント アクションに特に当てはまります。ハンドブックを停止するか、次のステップにスキップするかを決定できます。失敗したステップが意思決定に不可欠な場合は、次のステップで前のステップが失敗したかどうかを確認し、それに応じて処理方法を決定できます(たとえば、ステップが失敗した場合は、フォールバック ブランチに移動します)。

失敗時にスキップ

アクションが失敗した場合にステップをスキップするように構成できます。この設定を有効にすると、アクションの実行が失敗したり、エラーが返されたりした場合でも、ハンドブックは次のステップに進みます。

この設定を有効にする手順は次のとおりです。

  1. アクション ブロックをダブルクリックして、設定ドロワーを開きます。
  2. [設定] タブで、[ステップが失敗した場合] セクションに移動します。
  3. [手順をスキップ] を選択します。

高度なエラー処理に条件を使用する

「失敗した場合にスキップ」オプションは基本的なケースではうまく機能しますが、より堅牢な方法は、条件フローを使用して専用のエラー処理パスを作成することです。これにより、ステップが失敗した場合に、アナリストへの通知やエラーのロギングなど、別の処理セットをハンドブックで実行できます。

エラー処理パスを作成する手順は次のとおりです。

  1. 失敗する可能性があり、特定の失敗パスを定義するアクションの後に、条件フローブロックを追加します。
  2. [条件] ブロックをダブルクリックして、ダイアログを開きます。
  3. [設定] タブに移動し、[前の操作が失敗した場合] セクションで、フローをどのブランチに転送するかを選択します。重要: [前の操作が失敗した場合] 条件は、単に前の操作が失敗したかどうかをチェックするのではなく、現在の条件の評価で使用されている結果を持つ前の操作が失敗したかどうかをチェックします。その依存アクションが失敗した場合、条件を決定できず、フローは選択されたブランチに転送されます。これにより、依存関係が失敗して条件が解決されないケースを処理できます。
  4. この失敗ブランチでは、通知メールの送信、タスクの作成、失敗のロギングなどのアクションを追加できます。

たとえば、ユーザーの所有者の解決を試みるプレイブックを考えてみましょう。ユーザー所有者の解決アクションが失敗した場合(たとえば、ユーザーが Active Directory に存在しない場合)、プレイブックは停止しません。代わりに、条件ブロックが障害を検出し、フローを別のブランチに転送します。このブランチでは、欠落したデータについてセキュリティ チームにメールを送信し、プレイブックが中断することなく実行を継続できるようにします。<

フローを削除する

プレイブック内からフローを削除すると、ブランチ全体を削除するか、ブランチの 1 つの側面だけを削除するかを確認するメッセージが表示されます。

ブランチを統合する

ハンドブックの異なるブランチを 1 つのブランチに統合できます。これを行うには、ブランチの 1 つからアクションをドラッグして、別のブランチの [最終ステップ] ボックスにドロップします。プレイブックは、この後も続行することも、ここで終了することもできます。

条件での論理演算子の仕組み

このセクションでは、プレイブックの条件演算子が、単一または複数のアイテム(アラートのエンティティやイベントなど)を含むフィールドを評価する方法について説明します。フィールドが文字列リストかを理解することは、プレイブックのロジックにとって非常に重要です。

条件の評価におけるデータ型の役割

演算子の動作(EqualsContains)はデータ型によって異なります。

  • 単一アイテムのコンテキスト: 1 つのエンティティを含むアラートの [Entity.Identifier] などのフィールドは、単一の文字列として扱われます。
  • 複数項目のコンテキスト: 複数のエンティティを含むアラートの同じフィールドは、文字列のリストです。

equalscontains の演算子の動作

以降のセクションでは、これらの演算子の仕組みについて説明します。

Equals 演算子

Equals 演算子は 2 つの値を直接比較します。

  • 単一アイテム フィールド(文字列)は、完全一致をチェックします。
    • [Entity.Identifier]"Tom" であると仮定します。
    • この場合、条件 if [Entity.Identifier] equals "Tom"True になります。
  • 複数項目のフィールド(リスト)は、リスト全体が指定された文字列と等しいかどうかを確認します。リストは単一の文字列と等しくなることはありません。
    • [Entity.Identifier] がリスト (Tom, Kai) であると仮定します。
    • この場合、条件 if [Entity.Identifier] equals "Tom, Kai" は常に False になります。これは、[Entity.Identifier] がリストで、「Tom, Kai」が文字列であるためです。

Contains 演算子

Contains 演算子もデータ型によって変化します。

  • 単一アイテム フィールド(文字列)は、部分文字列検索を実行します。文字列に値が含まれている場合は True を返します。
    • [Entity.Identifier]"user-1234" であると仮定します。
    • この場合、条件 if [Entity.Identifier] contains "user"True になります。
  • 複数項目のフィールド(リスト)では、リスト内の項目の完全一致が確認されます。部分文字列検索は実行されません
    • [Entity.Identifier] がリスト("UserA@corp.com", "UserB@corp.com")であると仮定します。
    • この場合、条件 if [Entity.Identifier] contains "corp"False になります。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。