使用 playbook 中的流程

支持的平台:

本文档介绍了 Flow 组件如何使用分支系统做出决策,从而指导剧本的后续步骤。

条件流对于让 playbook 自动做出决策至关重要,它可以根据传入的提醒数据、之前的操作结果或用户输入,将支持请求路由到不同的路径。

以下是可用的流程选项:

  • 条件:基于占位符、现有案例数据和之前的操作流程的复杂条件。
  • 选择题:分析师必须手动回答的问题。
  • 先前操作条件:从 playbook 中执行的先前操作检索到的数据。

添加条件流

本部分介绍如何使用条件流在 playbook 中创建动态分支逻辑。

添加单个条件流

如需添加单个“条件”流程,请按以下步骤操作:

  1. 响应 > Playbook 页面上,点击打开步骤选择
  2. 步骤选择中,选择流程部分。
  3. 将条件拖动到相应步骤或两个操作之间,具体取决于您构建剧本的方式。
  4. 双击相应条件以打开对话框。
  5. 选择所需的实体。
  6. 确定要创建多少个分支。每个分支之间都有一个 OR
  7. 为每个分支选择并添加参数,如下所示:
    1. 选择 Google Security Operations 平台中所需的事件/支持请求/提醒参数或丰富的数据。对于新用户,如果您尚未提取任何提醒,则此字段为空。
    2. 选择所需的运算符:等于/不等于包含/不包含开头为大于/小于。 
    3. 选择一个值。在此示例中,选择三个分支(其中第三个分支是分支 Else 默认分支)。
      • 在分支 1 中:被屏蔽的提醒或没有威胁签名的提醒;然后执行 X(下一个剧本步骤)。
        分支 1:逻辑运算符设置为“或”。
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] 为空
      • 在分支 2 中:允许包含威胁签名的提醒。
        分支 2:逻辑运算符设置为 And
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • 在分支 3 中:默认 Else 分支。
  8. 定义“后备分支”以避免条件失败。如果某个条件基于之前的操作,而其中一项操作失败(并被跳过),则该条件会继续执行回退分支,而不是停止。如需选择后备分支,请参阅定义后备分支
  9. 点击保存。该剧本现在有三个分支:1、2 和 E(其他)。
  10. 为(至少)一个分支设置结果,以将 playbook 标记为已完成。

添加选择题对话流

  1. 选择题条件拖到最后一步框中。
  2. 点击单选题以打开对话框。
  3. 添加一个问题,并根据需要添加任意数量的答案。
  4. 点击保存。该剧本有四个分支。
  5. 为至少一个分支设置结果,以将其标记为完成。

添加“先前的操作条件”流程

如需添加“先前操作条件”流程,请按以下步骤操作:

  1. 先前的操作条件拖到最终步骤框中。
  2. 点击 Previous Actions Conditions 以打开相应对话框。
  3. 决定要创建多少个分支。每个分支之间都有一个 OR
  4. 添加形参:选择所需的形参。该列表仅显示相应剧本中的操作脚本结果。
  5. 选择所需的运算符:等于/不等于包含/不包含开头为大于/小于。 
  6. 选择值(操作结果)。
  7. 您可以为每个分支添加更多参数,并选择逻辑运算符:ANDOR
  8. 点击保存。该 playbook 会打开三个分支:12Else
  9. 为至少一个分支设置结果,以完成剧本。

定义回退分支

  1. 在某个流程(“条件”或“之前的操作条件”)中,选择要用作回退分支的分支。此示例使用分支- 不冒险
    您无需添加回退分支。
  2. 当 playbook 运行时,如果之前的操作失败,playbook 会选择回退分支并继续运行。

移除流

从剧本中移除流程时,系统会提示您移除整个分支还是仅移除其中的一个方面。

合并分支

您可以将 playbook 的不同分支合并为一个分支。为此,请从一个分支中拖动某个操作,然后将其放到另一个分支的 Final Step(最终步骤)框中。剧本可以在此之后继续,也可以在此结束。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。