Mit Playbook-Blöcken arbeiten

Unterstützt in:

Blöcke sind im Grunde wiederverwendbare Mini-Playbooks, mit denen Sie allgemeine Workflows und logische Entscheidungen in mehreren Playbooks implementieren können. Durch diese Wiederverwendbarkeit sind Wartung und Verbesserungen effizient, da sich jede Bearbeitung oder Änderung eines Blocks automatisch auf alle Playbooks auswirkt, in denen er verwendet wird.

Sie können Eingabeparameterfelder in Blöcken konfigurieren, um den internen Ablauf von Aktionen anzupassen, wenn Sie sie in anderen Playbooks verwenden. Blöcke können auch Ausgabewerte an das übergeordnete Playbook zurückgeben, was dynamische Interaktion und bedingte Logik in Ihren größeren Workflows unterstützt.

Hinweise

Bevor Sie Playbook-Blöcke erstellen, sollten Sie sich die Zeit nehmen, bestimmte Prozesse zu planen, die Sie in übergeordneten Playbooks wiederverwenden möchten. Überlegen Sie sich auch, welche Eingabefelder Sie konfigurieren müssen, damit die Blöcke flexibel und anpassungsfähig sind.

Neuen Block hinzufügen

In diesem Beispiel wird ein Block erstellt, der die Kommunikation zwischen dem SOC und seinen Kunden verwaltet.

So fügen Sie einen neuen Block hinzu:

  1. Klicken Sie auf der Seite Playbooks auf  Hinzufügen, wählen Sie den Ordner und die Umgebung aus und klicken Sie dann auf Erstellen. Wir empfehlen Administratoren, auf Alle Umgebungen zu klicken.
  2. Geben Sie den Namen des neuen Playbook-Blocks ein.
  3. Eingabe hinzufügen:
    1. Wählen Sie Eingabe aus.
    2. Klicken Sie auf Hinzufügen und geben Sie die Felder für den Eingabenamen und -wert ein. Sie können beliebig viele Felder hinzufügen.
  4. Sie verwenden die folgenden Eingaben, um den Ablauf dieses Blocks zu steuern:
    1. Kommunikationstyp: Genehmigung erforderlich (Dies ist einer von zwei definierten Typen; der andere ist Untersuchen).
    2. Kommunikationsmethode: E-Mail.
    3. Additional Message (Zusätzliche Nachricht): Lassen Sie das Feld leer.
  5. Wenn Sie diesen Feldern Werte hinzufügen, dienen sie als Standardeinstellungen. Diese Standardwerte werden beim Konfigurieren des Blocks festgelegt. Sie können sie jedoch für jede einzelne Blockinstanz ändern, nachdem sie in ein übergeordnetes Playbook eingefügt wurde. Diese Methode unterstützt anpassungsfähige und dynamische Workflows.

Fluss-Schritt für den Eingabetyp konfigurieren

Fügen Sie Ihrem Block einen Ablaufschritt hinzu. In diesem Schritt werden verschiedene Zweige erstellt, sodass das Playbook einem bestimmten Pfad folgt, der auf dem von Ihnen eingegebenen Eingabetyp basiert. Sie verwenden Platzhalter, um die Eingabetypen Untersuchen und Genehmigung erforderlich zu erfassen.

Zweig 1: Genehmigung erforderlich (Standard)

In diesem Zweig wird der Eingabetyp Require Approval (Genehmigung erforderlich) verarbeitet. Er ist Ihr Standardzweig.

  1. Konfigurieren Sie die Bedingung Genehmigung erforderlich, um diesen Zweig zu starten.
  2. Wählen Sie in der Spalte Aktionen die Option E-Mail > E-Mail senden aus und geben Sie die erforderlichen Parameter zum Senden einer E-Mail ein. In dieser E-Mail wird der Nutzer in der Regel um die Genehmigung gebeten, dass ein Sicherheitsanalyst seinen Computer repariert.
  3. Wählen Sie Ablauf > Bedingung aus und geben Sie die erforderlichen Parameter ein, um zu bestätigen, ob der Kunde die Anfrage genehmigt hat.
  4. Ausgabe (Genehmigter Pfad): Fügen Sie im Ausgabeschritt für den approved-Pfad dieser Bedingung Genehmigt hinzu. Dieser Wert wird an den übergeordneten Block zurückgegeben.
  5. Ausgabe (Else-Zweig – Nicht genehmigt): Fügen Sie im Ausgabeschritt des Else-Zweigs (in dem der Kunde negativ auf die Genehmigungsanfrage reagiert hat) Nicht genehmigt in das Feld Ausgabe ein.

Branch 2: Untersuchen

In diesem Zweig werden die Aktionen für den Eingabetyp Untersuchen definiert.

  1. Wählen Sie in der Spalte Aktionen die Option E-Mail > E-Mail senden aus und geben Sie die erforderlichen Parameter ein. Für die zusätzliche Nachricht wird ein Platzhalter eingefügt. Wenn Sie im übergeordneten Playbook den Typ in Untersuchen ändern, geben Sie eine Nachricht in das Feld Zusätzliche Nachricht eingeben ein.
  2. Wählen Sie Siemplify > Fall zuweisen aus, um den Fall dem Kunden zuzuweisen. Dadurch wird der Tier 1-Analyst angewiesen, den Vorfall zu prüfen, und die Verantwortung für die erste Untersuchung wird auf ihn übertragen.
  3. Wählen Sie Siemplify > Change Case Stage aus. In diesem Schritt wird davon ausgegangen, dass der Kunde aktiv recherchiert. Die Fallphase wird daher in Recherche geändert.
  4. Wählen Sie Siemplify > Fall zuweisen aus. In diesem Schritt wird davon ausgegangen, dass der Kunde seine Untersuchung abgeschlossen und das SOC aufgefordert hat, die Inhaberschaft des Falls zurückzufordern.
  5. Wählen Sie Siemplify > Change Case Stage aus. Durch diesen Schritt ändert sich die Fallphase von Investigation (Untersuchung) zu Assessment (Bewertung), sodass das SOC den Fall weiter bearbeiten kann.
  6. Fügen Sie im Ausgabeschritt die Wörter Investigation Completed (Untersuchung abgeschlossen) hinzu, um zum übergeordneten Playbook zurückzukehren.

Dieser Block ist jetzt mit bedingter Logik konfiguriert und kann in verschiedene übergeordnete Playbooks eingefügt werden. Sein Verhalten wird dann basierend auf der Eingabe Communication Type (Kommunikationstyp) angepasst.

Vorhandenen Block einfügen

So fügen Sie einen vorhandenen Block ein:

  1. Klicken Sie auf der Seite Playbooks auf Schritt hinzufügen.
  2. Wählen Sie im Feld Schrittauswahl den Bereich Blöcke aus.
  3. Ziehen Sie den gewünschten Block in die Mitte des Playbooks. 

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten