플레이북에서 흐름 사용

다음에서 지원:

이 문서에서는 흐름 구성요소가 분기 시스템을 사용하여 결정을 내림으로써 플레이북의 다음 단계를 안내하는 방법을 설명합니다.

조건 흐름은 플레이북이 수신되는 알림 데이터, 이전 작업 결과 또는 사용자 입력을 기반으로 케이스를 다른 경로로 라우팅하는 등 자동으로 결정을 내릴 수 있도록 하는 데 필수적입니다.

다음과 같은 흐름 옵션을 사용할 수 있습니다.

  • 조건: 자리표시자, 기존 케이스 데이터, 이전 작업 흐름을 기반으로 하는 복잡한 조건입니다.
  • 객관식 질문: 분석가가 수동으로 답변해야 하는 질문입니다.
  • 이전 작업 조건: 플레이북에서 실행된 이전 작업에서 검색된 데이터입니다.

조건 흐름 추가

이 섹션에서는 조건 흐름을 사용하여 플레이북 내에서 동적 분기 로직을 만드는 방법을 설명합니다.

단일 조건 흐름 추가

단일 조건 흐름을 추가하려면 다음 단계를 따르세요.

  1. 응답 > 플레이북 페이지에서 단계 선택 열기를 클릭합니다.
  2. 단계 선택에서 흐름 섹션을 선택합니다.
  3. 플레이북을 빌드하는 방법에 따라 조건을 단계로 드래그하거나 두 작업 사이로 드래그합니다.
  4. 조건을 더블클릭하여 대화상자를 엽니다.
  5. 필요한 항목을 선택합니다.
  6. 만들려는 브랜치 수를 결정합니다. 각 분기 사이에는 OR이 있습니다.
  7. 다음과 같이 각 브랜치의 매개변수를 선택하고 추가합니다.
    1. Google Security Operations 플랫폼에 있는 필수 이벤트/케이스/알림 매개변수 또는 보강된 데이터를 선택합니다. 신규 사용자의 경우 아직 알림을 수집하지 않았다면 이 값이 비어 있습니다.
    2. 필요한 연산자(같음/같지 않음, 포함/포함하지 않음, 다음으로 시작, 다음보다 큼/다음보다 작음)을 선택합니다. 
    3. 값을 선택합니다. 이 예시에서는 세 개의 브랜치를 선택합니다 (세 번째 브랜치는 브랜치 Else 기본 브랜치임).
      • 브랜치 1: 차단된 알림 또는 위협 서명이 없는 알림. 그런 다음 X (다음 플레이북 단계)를 실행합니다.
        브랜치 1: 논리 연산자가 Or로 설정됩니다.
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] Empty
      • 브랜치 2: 위협 서명이 있는 알림이 허용되었습니다.
        브랜치 2: 논리 연산자가 And로 설정됨
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • 브랜치 3: 기본 Else 브랜치입니다.
  8. 실패한 조건을 방지하기 위해 '대체 브랜치'를 정의합니다. 조건이 이전 작업을 기반으로 하고 이러한 작업 중 하나가 실패하고 건너뛴 경우 조건은 중지되지 않고 대체 브랜치로 계속됩니다. 대체 분기를 선택하려면 대체 분기 정의를 참고하세요.
  9. 저장을 클릭합니다. 이제 플레이북은 1, 2, E (Else)의 세 가지 분기로 나뉩니다.
  10. 하나 이상의 분기의 결과를 설정하여 플레이북을 완료로 표시합니다.

객관식 질문 흐름 추가

  1. 객관식 질문 조건을 최종 단계 상자로 드래그합니다.
  2. 객관식 질문을 클릭하여 대화상자를 엽니다.
  3. 필요한 만큼 답변이 있는 질문을 추가합니다.
  4. 저장을 클릭합니다. 플레이북에는 4개의 브랜치가 열립니다.
  5. 하나 이상의 브랜치의 결과를 설정하여 완료로 표시합니다.

이전 작업 조건 흐름 추가

이전 작업 조건 흐름을 추가하려면 다음 단계를 따르세요.

  1. 이전 작업 조건최종 단계 상자로 드래그합니다.
  2. 이전 작업 조건을 클릭하여 대화상자를 엽니다.
  3. 만들 브랜치 수를 결정합니다. 각 분기 사이에는 OR이 있습니다.
  4. 매개변수 추가: 필요한 매개변수를 선택합니다. 목록에는 이 플레이북의 작업 스크립트 결과만 표시됩니다.
  5. 필요한 연산자(같음/같지 않음, 포함/포함하지 않음, 다음으로 시작, 다음보다 큼/다음보다 작음)을 선택합니다. 
  6. 값 (작업 결과)을 선택합니다.
  7. 각 분기에 매개변수를 추가하고 논리 연산자(AND 또는 OR)를 선택할 수 있습니다.
  8. 저장을 클릭합니다. 플레이북은 1, 2, Else의 세 가지 브랜치를 엽니다.
  9. 플레이북을 완료하려면 하나 이상의 분기의 결과를 설정하세요.

대체 브랜치 정의

  1. 흐름 중 하나 (조건 또는 이전 작업 조건)에서 대체 브랜치로 사용할 브랜치를 선택합니다. 이 예시에서는 브랜치 위험하지 않음을 사용합니다.
    대체 브랜치를 추가하지 않아도 됩니다.
  2. 플레이북이 실행되고 이전 작업이 실패하면 플레이북은 대체 브랜치를 선택하고 계속됩니다.

흐름 삭제

플레이북 내에서 흐름을 삭제하면 시스템에서 전체 브랜치를 삭제할지 아니면 브랜치의 한 측면만 삭제할지 묻는 메시지가 표시됩니다.

브랜치 병합

플레이북의 여러 브랜치를 하나의 브랜치로 병합할 수 있습니다. 이렇게 하려면 한 분기에서 작업을 드래그하여 다른 분기의 최종 단계 상자에 드롭합니다. 플레이북은 이 단계 이후에 계속되거나 여기서 종료될 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.