Menggunakan alur kerja dalam playbook

Didukung di:

Dokumen ini menjelaskan cara komponen Flow mengarahkan langkah-langkah berikutnya dari playbook dengan menggunakan sistem percabangan untuk membuat keputusan.

Alur kondisi sangat penting agar playbook dapat membuat keputusan secara otomatis—mengarahkan kasus ke jalur yang berbeda berdasarkan data pemberitahuan yang masuk, hasil tindakan sebelumnya, atau input pengguna.

Opsi alur berikut tersedia:

  • Kondisi: Kondisi kompleks berdasarkan placeholder, data kasus yang ada, dan alur Tindakan Sebelumnya.
  • Pertanyaan Pilihan Ganda: Pertanyaan yang harus dijawab analis secara manual.
  • Kondisi Tindakan Sebelumnya: Data yang diambil dari tindakan sebelumnya yang dieksekusi di playbook.

Menambahkan alur Kondisi

Bagian ini menjelaskan cara menggunakan alur Kondisi untuk membuat logika bercabang yang dinamis dalam playbook Anda.

Menambahkan alur Kondisi tunggal

Untuk menambahkan alur Kondisi tunggal, ikuti langkah-langkah berikut:

  1. Di halaman Respons > Playbook, klik Buka Pemilihan Langkah.
  2. Di Step Selection, pilih bagian Flow.
  3. Tarik kondisi ke langkah atau di antara dua tindakan, bergantung pada cara Anda membuat playbook.
  4. Klik dua kali kondisi untuk membuka dialog.
  5. Pilih entitas yang diperlukan.
  6. Tentukan jumlah cabang yang ingin Anda buat. Setiap cabang memiliki OR di antaranya.
  7. Pilih dan tambahkan parameter untuk setiap cabang, sebagai berikut:
    1. Pilih parameter peristiwa/kasus/pemberitahuan atau data yang telah di-enrich yang diperlukan yang ada di platform Google Security Operations Anda. Untuk pengguna baru, kolom ini kosong jika Anda belum menyerap notifikasi apa pun.
    2. Pilih operator yang diperlukan: Sama dengan/Tidak sama dengan, Berisi/Tidak berisi, Diawali dengan, atau Lebih besar dari/Lebih kecil dari
    3. Pilih nilai. Untuk contoh ini, pilih tiga cabang (dengan cabang ketiga adalah Cabang Else Default).
      • Di Cabang 1: Peringatan yang diblokir atau peringatan tanpa tanda tangan ancaman; lalu lakukan X (langkah playbook berikutnya).
        Cabang 1: Operator Logis ditetapkan ke Atau.
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] Kosong
      • Di Cabang 2: Pemberitahuan yang diizinkan dengan tanda tangan ancaman.
        Cabang 2: Operator Logis ditetapkan ke And
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • Di Cabang 3: Cabang Else default.
  8. Tentukan "cabang pengganti" untuk menghindari kondisi yang gagal. Jika kondisi didasarkan pada tindakan sebelumnya, dan salah satu tindakan tersebut gagal (dan dilewati), kondisi akan berlanjut ke cabang penggantian, bukan berhenti. Untuk memilih cabang pengganti, lihat Menentukan cabang pengganti.
  9. Klik Simpan. Playbook kini memiliki tiga cabang: 1, 2, dan E (Else).
  10. Tetapkan hasil untuk (setidaknya) satu cabang untuk menandai playbook sebagai selesai.

Menambahkan alur pertanyaan pilihan ganda

  1. Tarik kondisi Pertanyaan Pilihan Ganda ke kotak Langkah Terakhir.
  2. Klik Pertanyaan Pilihan Ganda untuk membuka dialog.
  3. Tambahkan pertanyaan dengan jawaban sebanyak yang diperlukan.
  4. Klik Simpan. Playbook membuka empat cabang.
  5. Tetapkan hasil untuk setidaknya satu cabang untuk menandainya sebagai selesai.

Menambahkan alur Kondisi Tindakan Sebelumnya

Untuk menambahkan alur Kondisi Tindakan Sebelumnya, ikuti langkah-langkah berikut:

  1. Tarik Kondisi Tindakan Sebelumnya ke kotak Langkah Terakhir.
  2. Klik Kondisi Tindakan Sebelumnya untuk membuka dialog.
  3. Tentukan jumlah cabang yang akan dibuat. Setiap cabang memiliki OR di antara cabang tersebut.
  4. Tambahkan parameter: Pilih parameter yang diperlukan. Daftar hanya menampilkan hasil skrip tindakan dari playbook ini.
  5. Pilih operator yang diperlukan: Sama dengan/Tidak sama dengan, Berisi/Tidak berisi, Diawali dengan, atau Lebih besar dari/Lebih kecil dari
  6. Pilih nilai (hasil tindakan).
  7. Anda dapat menambahkan lebih banyak parameter ke setiap cabang dan memilih operator logis: AND atau OR.
  8. Klik Simpan. Playbook membuka tiga cabang: 1, 2, dan Else.
  9. Tetapkan hasil untuk minimal satu cabang guna menyelesaikan playbook.

Menentukan cabang pengganti

  1. Di salah satu alur (Kondisi atau Kondisi Tindakan Sebelumnya), pilih cabang yang akan digunakan sebagai cabang pengganti. Contoh ini menggunakan Branch not risky.
    Anda tidak perlu menambahkan cabang penggantian.
  2. Saat playbook berjalan, dan tindakan sebelumnya gagal, playbook akan memilih cabang penggantian dan berlanjut.

Menghapus alur

Saat menghapus alur dari dalam playbook, sistem akan meminta Anda untuk menghapus seluruh cabang atau hanya satu aspeknya.

Menggabungkan cabang

Anda dapat menggabungkan berbagai cabang playbook menjadi satu cabang. Untuk melakukannya, tarik tindakan dari salah satu cabang dan lepas ke kotak Langkah Terakhir cabang lain. Playbook dapat dilanjutkan setelah ini atau berakhir di sini.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.