Menggunakan alur dalam playbook

Didukung di:

Dokumen ini menjelaskan cara komponen Flow mengarahkan langkah berikutnya dari playbook dengan menggunakan sistem percabangan untuk membuat keputusan.

Alur kondisi sangat penting agar playbook dapat membuat keputusan—mengalihkan kasus ke jalur yang berbeda berdasarkan data pemberitahuan yang masuk, hasil tindakan sebelumnya, atau input pengguna.

Opsi alur berikut tersedia:

  • Kondisi: Kondisi kompleks berdasarkan placeholder, data kasus yang ada, dan alur Tindakan Sebelumnya.
  • Pertanyaan Pilihan Ganda: Pertanyaan yang harus dijawab analis secara manual.

Alur Tambahkan Kondisi

Bagian ini menjelaskan cara menggunakan alur Kondisi untuk membuat logika bercabang yang dinamis dalam playbook Anda.

Menambahkan alur Kondisi tunggal

Untuk menambahkan alur Kondisi tunggal, ikuti langkah-langkah berikut:

  1. Di halaman Respons > Playbook, klik Buka Pemilihan Langkah.
  2. Di Step Selection, pilih bagian Flow.
  3. Tarik kondisi ke langkah atau di antara dua tindakan, bergantung pada cara Anda membuat playbook.
  4. Klik dua kali kondisi untuk membuka dialog.
  5. Pilih entitas yang diperlukan. Jika Anda menggunakan placeholder, placeholder tersebut dicakup ke grup entitas ini.
  6. Tentukan jumlah cabang yang ingin Anda buat. Setiap cabang memiliki OR di antaranya.
  7. Pilih dan tambahkan parameter untuk setiap cabang, sebagai berikut:
    1. Pilih placeholder yang relevan yang ingin Anda evaluasi dari daftar placeholder yang ada. Untuk pengguna baru, kolom ini kosong jika Anda belum menyerap notifikasi apa pun.
    2. Pilih operator yang diperlukan: (misalnya, Sama dengan, Tidak berisi)
    3. Pilih nilai.
  8. Tentukan "cabang pengganti" untuk menghindari kondisi yang gagal. Jika kondisi didasarkan pada tindakan sebelumnya, dan salah satu tindakan tersebut gagal (dan dilewati), kondisi akan terus berlanjut ke cabang penggantian, bukan berhenti. Untuk memilih cabang fallback, lihat Menentukan cabang fallback.
  9. Klik Simpan. Playbook kini memiliki tiga cabang: 1, 2, dan E (Else).
  10. Tetapkan hasil untuk (setidaknya) satu cabang untuk menandai playbook sebagai selesai.

Menambahkan alur pertanyaan pilihan ganda

  1. Tarik kondisi Pertanyaan Pilihan Ganda ke kotak Langkah Terakhir.
  2. Klik Pertanyaan Pilihan Ganda untuk membuka dialog.
  3. Tambahkan pertanyaan dengan jawaban sebanyak yang diperlukan.
  4. Klik Simpan. Playbook membuka empat cabang.
  5. Tetapkan hasil untuk setidaknya satu cabang untuk menandainya sebagai selesai.

Menambahkan alur Kondisi

Untuk menambahkan alur Kondisi, ikuti langkah-langkah berikut:

  1. Tarik Kondisi ke kotak Langkah Terakhir.
  2. Klik Kondisi untuk membuka dialog.
  3. Tentukan jumlah cabang yang akan dibuat. Setiap cabang memiliki OR di antaranya.
  4. Tambahkan parameter: Pilih parameter yang diperlukan. Daftar ini hanya menampilkan hasil skrip tindakan dari playbook ini.
  5. Pilih operator yang diperlukan: Sama dengan/Tidak sama dengan, Berisi/Tidak berisi, Diawali dengan, atau Lebih besar dari/Lebih kecil dari.
  6. Pilih nilai (hasil tindakan).
  7. Anda dapat menambahkan lebih banyak parameter ke setiap cabang dan memilih operator logis: AND atau OR.
  8. Klik Simpan. Playbook membuka tiga cabang: 1, 2, dan Else.
  9. Tetapkan hasil untuk setidaknya satu cabang guna menyelesaikan playbook.

Menentukan cabang pengganti

  1. Di salah satu alur (Kondisi), pilih cabang yang akan digunakan sebagai cabang penggantian. Contoh ini menggunakan Cabang – tidak berisiko. Anda tidak diwajibkan untuk menambahkan cabang penggantian.
  2. Saat playbook berjalan, dan tindakan sebelumnya gagal, playbook akan memilih cabang penggantian dan berlanjut.

Mengelola kegagalan langkah

Langkah-langkah playbook dapat gagal selama eksekusi. Secara default, playbook dirancang untuk berhenti jika langkah gagal, yang merupakan mekanisme keamanan penting untuk mencegah kelanjutan dengan data yang tidak lengkap atau salah. Namun, ada kasus di mana Anda ingin playbook berlanjut meskipun langkah tidak menampilkan hasil yang diharapkan. Hal ini terutama berlaku untuk tindakan pengayaan yang datanya mungkin tidak ada di setiap kasus. Anda dapat memutuskan apakah akan menghentikan playbook atau melompat ke langkah berikutnya. Jika langkah yang gagal sangat penting untuk pengambilan keputusan, Anda dapat memeriksa apakah langkah sebelumnya gagal pada langkah berikutnya dan memutuskan cara melanjutkannya (misalnya, jika langkah gagal, lanjutkan ke cabang penggantian).

Lewati jika gagal

Untuk setiap tindakan, Anda dapat mengonfigurasinya agar melewati langkah jika gagal. Jika Anda mengaktifkan setelan ini, playbook akan melanjutkan ke langkah berikutnya, meskipun tindakan gagal dijalankan atau menampilkan error.

Untuk mengaktifkan setelan ini, ikuti langkah-langkah berikut:

  1. Klik dua kali blok tindakan untuk membuka panel setelannya.
  2. Di tab Setelan, buka bagian Jika langkah gagal.
  3. Pilih Lewati langkah.

Menggunakan kondisi untuk penanganan error lanjutan

Opsi "lewati jika gagal" berfungsi dengan baik untuk kasus dasar, tetapi metode yang lebih andal adalah menggunakan alur Kondisi untuk membuat jalur penanganan error khusus. Hal ini memungkinkan playbook mengambil serangkaian tindakan yang berbeda saat langkah gagal, seperti memberi tahu analis atau mencatat error.

Untuk membuat jalur penanganan error, ikuti langkah-langkah berikut:

  1. Setelah tindakan yang mungkin gagal, dan yang ingin Anda tentukan jalur kegagalannya, tambahkan blok alur Kondisi.
  2. Klik dua kali blok Condition untuk membuka dialognya.
  3. Buka tab Setelan, dan di bagian Jika tindakan sebelumnya gagal, pilih cabang yang akan mengarahkan alur. Penting: Kondisi Jika tindakan sebelumnya gagal tidak hanya memeriksa kegagalan sebelumnya; kondisi ini memeriksa apakah tindakan sebelumnya yang hasilnya digunakan dalam evaluasi kondisi saat ini telah gagal. Jika tindakan dependen tersebut gagal, kondisi tidak dapat diputuskan, dan alur diarahkan ke cabang yang dipilih. Hal ini memungkinkan Anda menangani kasus saat dependensi gagal, sehingga mencegah kondisi diselesaikan.
  4. Di cabang kegagalan ini, Anda dapat menambahkan tindakan seperti mengirim email notifikasi, membuat tugas, atau mencatat kegagalan.

Misalnya, pertimbangkan playbook yang mencoba menyelesaikan pemilik pengguna. Jika tindakan Resolve User Owner gagal (misalnya, pengguna tidak ada di Active Directory), playbook tidak akan berhenti. Sebagai gantinya, blok kondisi akan mendeteksi kegagalan dan mengarahkan alur ke cabang terpisah, tempat alur dapat mengirim email ke tim keamanan tentang data yang hilang, sehingga memastikan playbook terus berjalan tanpa gangguan. <

Menghapus alur

Saat menghapus alur dari dalam playbook, sistem akan meminta Anda untuk menghapus seluruh cabang atau hanya satu aspeknya.

Menggabungkan cabang

Anda dapat menggabungkan berbagai cabang playbook menjadi satu cabang. Untuk melakukannya, tarik tindakan dari salah satu cabang dan lepaskan ke kotak Langkah Terakhir dari cabang lain. Playbook dapat dilanjutkan setelah ini atau berakhir di sini.

Cara kerja operator logika dalam kondisi

Bagian ini menjelaskan cara Operator Bersyarat dalam playbook mengevaluasi kolom dengan satu atau beberapa item (misalnya, Entitas atau Peristiwa dalam Pemberitahuan). Memahami apakah kolom berupa string atau daftar sangat penting untuk logika playbook.

Peran jenis data dalam evaluasi Kondisi

Perilaku operator (Equals, Contains) bervariasi menurut jenis data:

  • Konteks Item Tunggal: kolom seperti [Entity.Identifier] dari pemberitahuan dengan satu entitas diperlakukan sebagai string tunggal.
  • Konteks Multi-Item: kolom yang sama dari pemberitahuan dengan beberapa entitas adalah daftar string.

Perilaku operator equals dan contains

Bagian berikut membahas cara kerja operator ini.

Operator Equals

Operator Equals membandingkan dua nilai secara langsung.

  • Kolom item tunggal (string) memeriksa kecocokan persis.
    • Dengan asumsi bahwa [Entity.Identifier] adalah "Tom".
    • Kemudian, kondisi if [Entity.Identifier] equals "Tom" adalah Benar.
  • Kolom multi-item (daftar) memeriksa apakah seluruh daftar sama dengan string yang ditentukan. Daftar tidak akan pernah sama dengan satu string.
    • Dengan asumsi bahwa [Entity.Identifier] adalah daftar (Tom, Kai)
    • Kemudian, kondisi if [Entity.Identifier] equals "Tom, Kai" selalu Salah. Hal ini karena [Entity.Identifier] adalah daftar dan "Tom, Kai" adalah string.

Operator Contains

Operator Contains juga berubah menurut jenis data:

  • Kolom item tunggal (string) melakukan penelusuran substring. Menampilkan True jika string berisi nilai.
    • Dengan asumsi bahwa [Entity.Identifier] adalah "user-1234".
    • Kemudian, kondisinya adalah if [Entity.Identifier] contains "user" adalah Benar.
  • Kolom multi-item (daftar) memeriksa kecocokan persis item dalam daftar. Tidak ada penelusuran substring yang dilakukan.
    • Dengan asumsi bahwa [Entity.Identifier] adalah daftar ("UserA@corp.com", "UserB@corp.com").
    • Kemudian, kondisinya adalah if [Entity.Identifier] contains "corp" is False.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.