Utilizzare i flussi nei playbook

Supportato in:

Questo documento spiega in che modo il componente Flusso indirizza i passaggi successivi di un playbook utilizzando un sistema di ramificazione per prendere decisioni.

I flussi di condizioni sono essenziali per consentire a un playbook di prendere decisioni automaticamente, indirizzando una richiesta lungo percorsi diversi in base ai dati degli avvisi in arrivo, ai risultati delle azioni precedenti o all'input utente.

Sono disponibili le seguenti opzioni di flusso:

  • Condizione: condizioni complesse basate su segnaposto, dati delle richieste esistenti e sul flusso Azioni precedenti.
  • Domanda a scelta multipla: domande a cui gli analisti devono rispondere manualmente.
  • Condizioni delle azioni precedenti: dati recuperati dalle azioni precedenti eseguite nel playbook.

Aggiungere flussi di condizioni

Questa sezione descrive come utilizzare i flussi di condizioni per creare una logica dinamica e ramificata all'interno dei playbook.

Aggiungere un singolo flusso di condizioni

Per aggiungere un singolo flusso di condizioni:

  1. Nella pagina Risposta > Playbook, fai clic su Apri selezione passaggi.
  2. In Selezione passaggio, seleziona la sezione Flusso.
  3. Trascina la condizione nel passaggio o tra due azioni, a seconda di come stai creando il playbook.
  4. Fai doppio clic sulla condizione per aprire la finestra di dialogo.
  5. Seleziona le entità richieste.
  6. Decidi quante filiali vuoi creare. Ogni ramo ha un OR tra loro.
  7. Seleziona e aggiungi i parametri per ogni ramo nel seguente modo:
    1. Seleziona i parametri di evento/caso/avviso o i dati arricchiti richiesti che si trovano nella piattaforma Google Security Operations. Per i nuovi utenti, questo campo è vuoto se non hai ancora importato alcun avviso.
    2. Seleziona l'operatore richiesto: Uguale a/Non uguale a, Contiene/Non contiene, Inizia con o Maggiore di/Minore di
    3. Scegli un valore. Per questo esempio, scegli tre rami (dove il terzo ramo è il ramo Else predefinito).
      • Nel ramo 1: avvisi bloccati o avvisi senza una firma di minaccia, quindi esegui X (il passaggio successivo del playbook).
        Branch 1: Logical Operator set to Or.
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] Empty
      • In Branch 2: avvisi consentiti con una firma di minaccia.
        Branch 2: Logical Operator set to And
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • In Branch 3: il branch Else predefinito.
  8. Definisci un "ramo di riserva" per evitare condizioni non soddisfatte. Se una condizione si basa su azioni precedenti e una di queste azioni non è riuscita (ed è stata ignorata), la condizione continua con il ramo di riserva, anziché interrompersi. Per selezionare un ramo di riserva, consulta Definire un ramo di riserva.
  9. Fai clic su Salva. La guida pratica ora prevede tre rami: 1, 2 ed E (Altro).
  10. Imposta il risultato per (almeno) un ramo per contrassegnare il playbook come completato.

Aggiungere un flusso di domande a scelta multipla

  1. Trascina la condizione Domande a scelta multipla nella casella Passaggio finale.
  2. Fai clic su Domande a scelta multipla per aprire la finestra di dialogo.
  3. Aggiungi una domanda con tutte le risposte necessarie.
  4. Fai clic su Salva. Il playbook si apre in quattro rami.
  5. Imposta il risultato per almeno un ramo per contrassegnarlo come completato.

Aggiungere un flusso di condizioni delle azioni precedenti

Per aggiungere un flusso di condizioni delle azioni precedenti:

  1. Trascina Condizioni delle azioni precedenti nella casella Passaggio finale.
  2. Fai clic su Condizioni delle azioni precedenti per aprire la finestra di dialogo.
  3. Decidi quante filiali creare. Ogni ramo ha un OR tra loro.
  4. Aggiungi un parametro: seleziona il parametro richiesto. L'elenco mostra solo i risultati dello script di azione di questo playbook.
  5. Seleziona l'operatore richiesto: Uguale a/Non uguale a, Contiene/Non contiene, Inizia con o Maggiore di/Minore di
  6. Scegli il valore (il risultato dell'azione).
  7. Puoi aggiungere altri parametri a ogni ramo e scegliere un operatore logico: AND o OR.
  8. Fai clic su Salva. Il playbook si apre in tre rami: 1, 2 e Altrimenti.
  9. Imposta il risultato per almeno un ramo per completare il playbook.

Definisci un ramo di riserva

  1. In uno dei flussi (Condizione o Condizione azioni precedenti), seleziona il ramo da utilizzare come ramo di riserva. Questo esempio utilizza Branch not risky.
    Non è necessario aggiungere un ramo di riserva.
  2. Quando viene eseguito il playbook e le azioni precedenti non vanno a buon fine, il playbook sceglie il ramo di fallback e continua.

Rimuovere un flusso

Quando rimuovi un flusso da un playbook, il sistema ti chiede se vuoi rimuovere l'intero ramo o solo un aspetto.

Unire i rami

Puoi unire diversi rami del playbook in un unico ramo. Per farlo, trascina un'azione da uno dei rami e rilasciala nella casella Passaggio finale di un altro ramo. Il playbook può continuare dopo questo passaggio o terminare qui.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.