Usar fluxos em playbooks

Compatível com:

Este documento explica como o componente Fluxo direciona as próximas etapas de um playbook usando um sistema de ramificação para tomar decisões.

Os fluxos de condição são essenciais para permitir que um playbook tome decisões automaticamente, encaminhando um caso por caminhos diferentes com base nos dados de alerta recebidos, nos resultados de ações anteriores ou na entrada do usuário.

As seguintes opções de fluxo estão disponíveis:

  • Condição: condições complexas baseadas em marcadores de posição, dados de casos atuais e o fluxo de Ações anteriores.
  • Pergunta de múltipla escolha: perguntas que os analistas precisam responder manualmente.
  • Condições de ações anteriores: dados recuperados de ações anteriores executadas no playbook.

Adicionar fluxos de condição

Nesta seção, descrevemos como usar fluxos de condição para criar uma lógica dinâmica e ramificada nos seus playbooks.

Adicionar um único fluxo de condição

Para adicionar um único fluxo de condição, siga estas etapas:

  1. Na página Resposta > Playbooks, clique em Abrir seleção de etapas.
  2. Em Seleção de etapa, selecione a seção Fluxo.
  3. Arraste a condição para a etapa ou entre duas ações, dependendo de como você está criando o playbook.
  4. Clique duas vezes na condição para abrir a caixa de diálogo.
  5. Selecione as entidades necessárias.
  6. Decida quantas ramificações você quer criar. Cada ramificação tem um OR entre elas.
  7. Selecione e adicione parâmetros para cada ramificação da seguinte forma:
    1. Selecione os parâmetros de evento/caso/alerta ou os dados enriquecidos necessários que estão na plataforma do Google Security Operations. Para novos usuários, esse campo fica vazio se você ainda não tiver ingerido alertas.
    2. Selecione o operador necessário: Igual a/Diferente de, Contém/Não contém, Começa com ou Maior que/Menor que
    3. Escolha um valor. Neste exemplo, escolha três ramificações, sendo a terceira a ramificação padrão Else.
      • Na ramificação 1: alertas bloqueados ou sem uma assinatura de ameaça. Em seguida, faça X (a próxima etapa do playbook).
        Branch 1: Logical Operator set to Or.
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] Empty
      • Na ramificação 2: alertas permitidos com uma assinatura de ameaça.
        Ramificação 2: operador lógico definido como And
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • Na ramificação 3: a ramificação Else padrão.
  8. Defina uma "ramificação de fallback" para evitar condições com falha. Se uma condição for baseada em ações anteriores e uma dessas ações falhar (e for ignorada), a condição vai continuar para a ramificação de substituição, em vez de parar. Para selecionar uma ramificação substituta, consulte Definir uma ramificação substituta.
  9. Clique em Salvar. O playbook agora tem três ramificações: 1, 2 e E (Else).
  10. Defina o resultado de pelo menos uma ramificação para marcar o playbook como concluído.

Adicionar um fluxo de perguntas de múltipla escolha

  1. Arraste a condição Perguntas de múltipla escolha para a caixa Etapa final.
  2. Clique em Perguntas de múltipla escolha para abrir a caixa de diálogo.
  3. Adicione uma pergunta com quantas respostas forem necessárias.
  4. Clique em Salvar. O playbook abre quatro ramificações.
  5. Defina o resultado de pelo menos uma ramificação para marcá-la como concluída.

Adicionar um fluxo de condições de ações anteriores

Para adicionar um fluxo de condições de ações anteriores, siga estas etapas:

  1. Arraste as Condições de ações anteriores para a caixa Etapa final.
  2. Clique em Condições de ações anteriores para abrir a caixa de diálogo.
  3. Decida quantas ramificações criar. Cada ramificação tem um OR entre elas.
  4. Adicionar um parâmetro: selecione o parâmetro necessário. A lista mostra apenas os resultados do script de ação deste playbook.
  5. Selecione o operador necessário: Igual a/Diferente de, Contém/Não contém, Começa com ou Maior que/Menor que
  6. Escolha o valor (o resultado da ação).
  7. É possível adicionar mais parâmetros a cada ramificação e escolher um operador lógico: AND ou OR.
  8. Clique em Salvar. O playbook abre três ramificações: 1, 2 e Else.
  9. Defina o resultado de pelo menos uma ramificação para concluir o playbook.

Definir uma ramificação de fallback

  1. Em um dos fluxos (condição ou condição de ações anteriores), selecione a ramificação que será usada como alternativa. Este exemplo usa Branch not risky.
    Não é necessário adicionar uma ramificação de substituição.
  2. Quando o playbook é executado e as ações anteriores falham, ele escolhe a ramificação de fallback e continua.

Remover um fluxo

Ao remover um fluxo de um playbook, o sistema pede para você remover toda a ramificação ou apenas um aspecto dela.

Mesclar ramificações

Você pode mesclar diferentes ramificações do playbook em uma só. Para fazer isso, arraste uma ação de uma das ramificações e solte na caixa Etapa final de outra ramificação. O playbook pode continuar depois disso ou terminar aqui.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.