Use fluxos em guias interativos

Compatível com:

Este documento explica como o componente Fluxo direciona os passos seguintes de um manual de soluções através de um sistema de ramificações para tomar decisões.

Os fluxos de condições são essenciais para permitir que um manual tome decisões automaticamente, encaminhando um registo por caminhos diferentes com base nos dados de alerta recebidos, nos resultados de ações anteriores ou na introdução do utilizador.

Estão disponíveis as seguintes opções de fluxo:

  • Condição: condições complexas baseadas em marcadores de posição, dados de registos existentes e no fluxo de Ações anteriores.
  • Pergunta de escolha múltipla: perguntas que os analistas têm de responder manualmente.
  • Condições de ações anteriores: dados obtidos de ações anteriores executadas no manual de soluções.

Adicione fluxos de condições

Esta secção descreve como usar fluxos de condições para criar uma lógica dinâmica e ramificada nos seus manuais de procedimentos.

Adicione um único fluxo de condições

Para adicionar um único fluxo de condição, siga estes passos:

  1. Na página Resposta > Manuais de procedimentos, clique em Abrir seleção de passos.
  2. Em Seleção de passos, selecione a secção Fluxo.
  3. Arraste a condição para o passo ou entre duas ações, consoante a forma como está a criar o seu manual de estratégias.
  4. Clique duas vezes na condição para abrir a caixa de diálogo.
  5. Selecione as entidades necessárias.
  6. Decida quantas ramificações quer criar. Cada ramificação tem um OU entre elas.
  7. Selecione e adicione parâmetros para cada ramificação, da seguinte forma:
    1. Selecione os parâmetros de eventos/casos/alertas necessários ou os dados enriquecidos que estão na sua plataforma Google Security Operations. Para novos utilizadores, este campo está vazio se ainda não tiver carregado alertas.
    2. Selecione o operador necessário: Igual a/Diferente de, Contém/Não contém, Começa por ou Superior a/Inferior a
    3. Escolha um valor. Para este exemplo, escolha três ramos (em que o terceiro ramo é o ramo Else predefinido).
      • Na ramificação 1: alertas bloqueados ou alertas sem uma assinatura de ameaça; em seguida, execute X (o passo seguinte do plano de ação).
        Branch 1: Logical Operator set to Or.
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] Empty
      • In Branch 2: Allowed alerts with a threat signature.
        Branch 2: Logical Operator set to And
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • No ramo 3: o ramo Else predefinido.
  8. Defina um "ramo alternativo" para evitar condições com falhas. Se uma condição se basear em ações anteriores e uma dessas ações falhar (e for ignorada), a condição continua para o ramo alternativo, em vez de parar. Para selecionar um ramo alternativo, consulte o artigo Defina um ramo alternativo.
  9. Clique em Guardar. O guia interativo tem agora três ramificações: 1, 2 e E (Else).
  10. Defina o resultado de (pelo menos) um ramo para marcar o manual de soluções como concluído.

Adicione um fluxo de perguntas de escolha múltipla

  1. Arraste a condição Perguntas de escolha múltipla para a caixa Passo final.
  2. Clique em Perguntas de escolha múltipla para abrir a caixa de diálogo.
  3. Adicione uma pergunta com o número de respostas que quiser.
  4. Clique em Guardar. O manual abre quatro ramificações.
  5. Defina o resultado de, pelo menos, um ramo para o marcar como concluído.

Adicione um fluxo de condições de ações anteriores

Para adicionar um fluxo de condições de ações anteriores, siga estes passos:

  1. Arraste as condições das ações anteriores para a caixa Passo final.
  2. Clique em Condições de ações anteriores para abrir a caixa de diálogo.
  3. Decida quantas ramificações criar. Cada ramificação tem um OU entre elas.
  4. Adicione um parâmetro: selecione o parâmetro necessário. A lista mostra apenas os resultados do script de ação deste manual de soluções.
  5. Selecione o operador necessário: Igual a/Diferente de, Contém/Não contém, Começa por ou Superior a/Inferior a
  6. Escolha o valor (o resultado da ação).
  7. Pode adicionar mais parâmetros a cada ramificação e escolher um operador lógico: E ou OU.
  8. Clique em Guardar. O manual abre três ramificações: 1, 2 e Else.
  9. Defina o resultado de, pelo menos, um ramo para concluir o manual de estratégias.

Defina um ramo alternativo

  1. Num dos fluxos (condição ou condição de ações anteriores), selecione o ramo a usar como ramo alternativo. Este exemplo usa Branch not risky.
    Não tem de adicionar um ramo alternativo.
  2. Quando o playbook é executado e as ações anteriores falham, o playbook escolhe o ramo alternativo e continua.

Remova um fluxo

Quando remove um fluxo de um manual de estratégias, o sistema pede-lhe que remova todo o ramo ou apenas um aspeto do mesmo.

Unir ramos

Pode unir diferentes ramificações do manual num único ramo. Para tal, arraste uma ação de um dos ramos e largue-a na caixa Passo final de outro ramo. O manual de estratégias pode continuar após este passo ou terminar aqui.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.