Abläufe in Playbooks verwenden

Unterstützt in:

In diesem Dokument wird erläutert, wie die Komponente Flow die nächsten Schritte eines Playbooks mithilfe eines Verzweigungssystems steuert.

Bedingungsabläufe sind unerlässlich, damit ein Playbook automatisch Entscheidungen treffen kann. Ein Fall wird basierend auf eingehenden Benachrichtigungsdaten, vorherigen Aktionsergebnissen oder Nutzereingaben auf verschiedene Pfade geleitet.

Die folgenden Ablaufoptionen sind verfügbar:

  • Bedingung: Komplexe Bedingungen, die auf Platzhaltern, vorhandenen Falldaten und dem Ablauf Vorherige Aktionen basieren.
  • Multiple-Choice-Frage: Fragen, die Analysten manuell beantworten müssen.
  • Bedingungen für vorherige Aktionen: Daten, die aus vorherigen Aktionen abgerufen wurden, die im Playbook ausgeführt wurden.

Bedingungsabläufe hinzufügen

In diesem Abschnitt wird beschrieben, wie Sie mit Bedingungsabläufen dynamische Verzweigungslogik in Ihren Playbooks erstellen.

Einzelnen „Bedingung“-Ablauf hinzufügen

So fügen Sie einen einzelnen bedingten Ablauf hinzu:

  1. Klicken Sie auf der Seite Antwort > Playbooks auf Schrittauswahl öffnen.
  2. Wählen Sie unter Schrittauswahl den Abschnitt Ablauf aus.
  3. Ziehen Sie die Bedingung auf den Schritt oder zwischen zwei Aktionen, je nachdem, wie Sie das Playbook erstellen.
  4. Doppelklicken Sie auf die Bedingung, um das Dialogfeld zu öffnen.
  5. Wählen Sie die erforderlichen Entitäten aus.
  6. Entscheiden Sie, wie viele Zweige Sie erstellen möchten. Zwischen den einzelnen Zweigen befindet sich jeweils ein OR.
  7. Wählen Sie Parameter für jeden Zweig aus und fügen Sie sie hinzu:
    1. Wählen Sie die erforderlichen Ereignis-, Fall- oder Benachrichtigungsparameter oder angereicherten Daten aus, die sich auf Ihrer Google Security Operations-Plattform befinden. Bei neuen Nutzern ist dieses Feld leer, wenn Sie noch keine Benachrichtigungen aufgenommen haben.
    2. Wählen Sie den gewünschten Operator aus: Gleich/Ungleich, Enthält/Enthält nicht, Beginnt mit oder Größer als/Kleiner als
    3. Wählen Sie einen Wert aus. Wählen Sie für dieses Beispiel drei Branches aus, wobei der dritte Branch der Standard-Branch Else ist.
      • In Branch 1: Blockierte Warnungen oder Warnungen ohne Bedrohungssignatur; dann X ausführen (nächster Playbook-Schritt).
        Branch 1: Logical Operator set to Or.
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] Empty
      • In Branch 2: Benachrichtigungen mit einer Bedrohungs-Signatur sind zulässig.
        Branch 2: Logical Operator set to And
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • In Branch 3: Der Standardzweig Else.
  8. Definieren Sie einen „Fallback-Zweig“, um fehlgeschlagene Bedingungen zu vermeiden. Wenn eine Bedingung auf vorherigen Aktionen basiert und eine dieser Aktionen fehlgeschlagen (und übersprungen) ist, wird die Bedingung mit dem Fallback-Zweig fortgesetzt, anstatt zu stoppen. Informationen zum Auswählen eines Fallback-Branch finden Sie unter Fallback-Branch definieren.
  9. Klicken Sie auf Speichern. Das Playbook hat jetzt drei Zweige: 1, 2 und E (Else).
  10. Legen Sie das Ergebnis für mindestens einen Zweig fest, um das Playbook als abgeschlossen zu markieren.

Ablauf mit Multiple-Choice-Frage hinzufügen

  1. Ziehen Sie die Bedingung Multiple-Choice-Fragen in das Feld Letzter Schritt.
  2. Klicken Sie auf Multiple-Choice-Fragen, um das Dialogfeld zu öffnen.
  3. Fügen Sie eine Frage mit beliebig vielen Antworten hinzu.
  4. Klicken Sie auf Speichern. Das Playbook hat vier Zweige.
  5. Legen Sie das Ergebnis für mindestens einen Zweig fest, um ihn als abgeschlossen zu markieren.

Ablauf mit Bedingungen für vorherige Aktionen hinzufügen

So fügen Sie einen Ablauf mit Bedingungen für frühere Aktionen hinzu:

  1. Ziehen Sie die Bedingungen für vorherige Aktionen in das Feld Letzter Schritt.
  2. Klicken Sie auf Bedingungen für vorherige Aktionen, um das Dialogfeld zu öffnen.
  3. Entscheiden Sie, wie viele Branches Sie erstellen möchten. Zwischen den einzelnen Zweigen befindet sich jeweils ein OR.
  4. Parameter hinzufügen: Wählen Sie den gewünschten Parameter aus. In der Liste werden nur die Ergebnisse des Aktionsskripts aus diesem Playbook angezeigt.
  5. Wählen Sie den gewünschten Operator aus: Gleich/Ungleich, Enthält/Enthält nicht, Beginnt mit oder Größer als/Kleiner als
  6. Wählen Sie den Wert (das Ergebnis der Aktion) aus.
  7. Sie können jedem Zweig weitere Parameter hinzufügen und einen logischen Operator auswählen: UND oder ODER.
  8. Klicken Sie auf Speichern. Das Playbook hat drei Zweige: 1, 2 und Else.
  9. Legen Sie das Ergebnis für mindestens einen Zweig fest, um das Playbook abzuschließen.

Fallback-Zweig definieren

  1. Wählen Sie in einem der Abläufe („Bedingung“ oder „Bedingung für vorherige Aktionen“) den Zweig aus, der als Fallback-Zweig verwendet werden soll. In diesem Beispiel wird Branch – not risky
    verwendet.Sie müssen keinen Fallback-Zweig hinzufügen.
  2. Wenn das Playbook ausgeführt wird und die vorherigen Aktionen fehlschlagen, wird der Fallback-Zweig ausgewählt und fortgesetzt.

Ablauf entfernen

Wenn Sie einen Ablauf aus einem Playbook entfernen, werden Sie vom System aufgefordert, den gesamten Zweig oder nur einen Aspekt davon zu entfernen.

Zweige zusammenführen

Sie können verschiedene Zweige des Playbooks in einem Zweig zusammenführen. Ziehen Sie dazu eine Aktion aus einem der Zweige und legen Sie sie im Feld Final Step (Letzter Schritt) eines anderen Zweigs ab. Das Playbook kann danach fortgesetzt oder hier beendet werden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten