ハンドブックでフローを使用する

以下でサポートされています。

このドキュメントでは、Flow コンポーネントが、分岐システムを使用して意思決定を行い、プレイブックの次のステップを指示する方法について説明します。

条件フローは、プレイブックが自動的に意思決定を行うために不可欠です。受信したアラートデータ、以前のアクションの結果、ユーザー入力に基づいて、ケースをさまざまなパスにルーティングします。

次のフロー オプションを使用できます。

  • 条件: プレースホルダ、既存のケースデータ、前のアクションフローに基づく複雑な条件。
  • 多肢選択式問題: アナリストが手動で回答する必要がある質問。
  • 先行アクションの条件: ハンドブックで実行された先行アクションから取得されたデータ。

条件フローを追加する

このセクションでは、条件フローを使用して、プレイブック内に動的な分岐ロジックを作成する方法について説明します。

1 つの条件フローを追加する

単一の条件フローを追加する手順は次のとおりです。

  1. [レスポンス] > [ハンドブック] ページで、[ステップの選択を開く] をクリックします。
  2. [ステップの選択] で、[フロー] セクションを選択します。
  3. プレイブックの作成方法に応じて、条件をステップまたは 2 つのアクションの間にドラッグします。
  4. 条件をダブルクリックしてダイアログを開きます。
  5. 必要なエンティティを選択します。
  6. 作成するブランチの数を決定します。各ブランチの間には OR があります。
  7. 次のように、各ブランチのパラメータを選択して追加します。
    1. Google Security Operations プラットフォームにある必要なイベント、ケース、アラートのパラメータまたは拡充されたデータを選択します。新しいユーザーの場合、アラートをまだ取り込んでいない場合は空になります。
    2. 必要な演算子([次と等しい/次と等しくない]、[次を含む/次を含まない]、[次から始まる]、[次より大きい/次より小さい])を選択します。 
    3. 値を選択します。この例では、3 つのブランチを選択します(3 番目のブランチはブランチ Else のデフォルト ブランチです)。
      • ブランチ 1 の場合: ブロックされたアラートまたは脅威シグネチャのないアラート。その後、X(次のハンドブックの手順)を実行します。
        ブランチ 1: 論理演算子が Or に設定されている。
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] Empty
      • ブランチ 2: 脅威シグネチャを含むアラートが許可されます。
        ブランチ 2: 論理演算子が And に設定されている
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • ブランチ 3: デフォルトの Else ブランチ。
  8. 条件が失敗しないように、「フォールバック ブランチ」を定義します。条件が以前のアクションに基づいており、それらのアクションのいずれかが失敗(スキップ)した場合、条件は停止せずにフォールバック ブランチに進みます。フォールバック ブランチを選択するには、フォールバック ブランチを定義するをご覧ください。
  9. [保存] をクリックします。ハンドブックは 3 つのブランチ(1、2、E(Else))に分岐します。
  10. (少なくとも)1 つのブランチの結果を設定して、ハンドブックを完了としてマークします。

多肢選択式の質問フローを追加する

  1. [選択式問題] 条件を [最終ステップ] ボックスにドラッグします。
  2. [Multi-Choice Questions] をクリックしてダイアログを開きます。
  3. 必要な数の回答を含む質問を追加します。
  4. [保存] をクリックします。プレイブックは 4 つのブランチを開きます。
  5. 少なくとも 1 つのブランチの結果を設定して、完了としてマークします。

先行アクションの条件フローを追加する

[Previous Actions Conditions] フローを追加する手順は次のとおりです。

  1. [先行アクションの条件] を [最終ステップ] ボックスにドラッグします。
  2. [Previous Actions Conditions] をクリックしてダイアログを開きます。
  3. 作成するブランチの数を決定します。各ブランチの間には OR があります。
  4. パラメータを追加する: 必要なパラメータを選択します。このリストには、このプレイブックのアクション スクリプトの結果のみが表示されます。
  5. 必要な演算子([次と等しい/次と等しくない]、[次を含む/次を含まない]、[次から始まる]、[次より大きい/次より小さい])を選択します。 
  6. 値(アクションの結果)を選択します。
  7. 各ブランチにパラメータを追加し、論理演算子(AND または OR)を選択できます。
  8. [保存] をクリックします。Playbook は、12Else の 3 つのブランチを開きます。
  9. ハンドブックを完了するには、少なくとも 1 つのブランチの結果を設定します。

フォールバック ブランチを定義する

  1. いずれかのフロー(条件または前の操作の条件)で、フォールバック ブランチとして使用するブランチを選択します。この例では、Branch not risky を使用しています。
    フォールバック ブランチを追加する必要はありません。
  2. ハンドブックの実行時に、以前のアクションが失敗すると、ハンドブックはフォールバック ブランチを選択して続行します。

フローを削除する

プレイブック内からフローを削除すると、ブランチ全体を削除するか、ブランチの 1 つの側面のみを削除するかを確認するメッセージが表示されます。

ブランチを統合する

ハンドブックの異なるブランチを 1 つのブランチに統合できます。これを行うには、ブランチの 1 つからアクションをドラッグして、別のブランチの [最終ステップ] ボックスにドロップします。プレイブックは、この後も続行することも、ここで終了することもできます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。