在應對手冊中使用流程

本文說明 Flow 元件如何使用分支系統做出決策，引導劇本的後續步驟。

條件流程可讓劇本根據收到的快訊資料、先前的動作結果或使用者輸入內容，自動做出決策並將案件導向不同路徑，因此非常重要。

可用的流程選項如下：

• 條件：根據預留位置、現有案件資料和「先前的動作」流程設定複雜條件。
• 選擇題：分析師必須手動回答的問題。
• 過往動作條件：從應對手冊中執行的過往動作擷取的資料。

新增條件流程

本節說明如何使用「條件」流程，在劇本中建立動態分支邏輯。

新增單一條件流程

如要新增單一「條件」流程，請按照下列步驟操作：

1. 在「Response」>「Playbooks」頁面，按一下「Open Step Selection」。
2. 在「步驟選取」中，選取「流程」部分。
3. 視建構劇本的方式而定，將條件拖曳至步驟或兩個動作之間。
4. 按兩下條件即可開啟對話方塊。
5. 選取所需實體。
6. 決定要建立多少個分支版本。每個分支之間都有 OR。
7. 為每個分支版本選取並新增參數，如下所示：
   1. 選取 Google Security Operations 平台中所需的事件/案件/快訊參數或擴增資料。如果是新使用者，且您尚未擷取任何快訊，這個欄位會是空白。
   2. 選取所需運算子：「等於/不等於」、「包含/不包含」、「開頭為」或「大於/小於」。 
   3. 選擇值。在本範例中，請選擇三個分支 (第三個分支是分支 Else 預設分支)。
   • 在 Branch 1 中：遭封鎖的快訊或沒有威脅簽章的快訊；然後執行 X (下一個劇本步驟)。
     分支 1：邏輯運算子設為「Or」。
     Alert.CategoryOutcome = Blocked
     Alert.ThreatSignature [] Empty
   • 在 Branch 2 中：允許顯示含有威脅簽章的警示。
     分支 2：邏輯運算子設為「And」
     Alert.CategoryOutcome = Allowed
     Alert. ThreatSignature ![] NotEmpty
   • 在 Branch 3 中：預設 Else 分支版本。
8. 定義「備用分支」，避免條件失敗。如果條件是根據先前的動作而定，且其中一個動作失敗 (並略過)，條件會繼續執行備援分支，而不是停止。如要選取備用分支版本，請參閱「定義備用分支版本」。
9. 按一下 [儲存]。教戰手冊現在有三個分支：1、2 和 E (Else)。
10. 為 (至少) 一個分支設定結果，將劇本標示為完成。

新增選擇題流程

1. 將「選擇題」條件拖曳至「最後步驟」方塊。
2. 按一下「選擇題」開啟對話方塊。
3. 視需要新增問題和答案。
4. 按一下 [儲存]。劇本會開啟四個分支。
5. 為至少一個分支設定結果，將其標示為完成。

新增「過往動作條件」流程

如要新增「先前的動作條件」流程，請按照下列步驟操作：

1. 將「過往動作條件」拖曳至「最終步驟」方塊。
2. 按一下「先前的動作條件」開啟對話方塊。
3. 決定要建立多少個分支。每個分支之間都有 OR。
4. 新增參數：選取必要參數。清單只會顯示這項劇本的動作指令碼結果。
5. 選取所需運算子：「等於/不等於」、「包含/不包含」、「開頭為」或「大於/小於」。 
6. 選擇值 (動作結果)。
7. 您可以為每個分支新增更多參數，並選擇邏輯運算子：「AND」或「OR」。
8. 按一下 [儲存]。劇本會開啟三個分支：1、2 和「Else」。
9. 為至少一個分支設定結果，即可完成劇本。

定義備用分支版本

1. 在其中一個流程 (「條件」或「先前的動作條件」) 中，選取要當做備用分支的分支。這個範例使用 Branch – not risky。
   您不必新增備援分支。
2. 應對手冊執行時，如果先前的動作失敗，應對手冊會選擇備援分支並繼續執行。

移除流程

從劇本中移除流程時，系統會提示您移除整個分支，或只移除其中一個部分。

合併分支

您可以將劇本的不同分支合併為一個分支。如要這麼做，請從其中一個分支拖曳動作，然後放到另一個分支的「最後步驟」方塊。應對手冊可以在此之後繼續執行，也可以在此結束。