Trabajar con bloques de guiones

Disponible en:

Los bloques son miniguias reutilizables que te permiten implementar flujos de trabajo y decisiones lógicas comunes en varias guías. Esta reutilización hace que el mantenimiento y las mejoras sean eficientes, ya que cualquier edición o cambio que se haga en un bloque afectará automáticamente a todos los cuadernos de estrategias que lo incorporen.

Puedes configurar los campos de parámetros de entrada de los bloques para ajustar su flujo interno de acciones cuando los uses en otros cuadernos de estrategias. Los bloques también pueden devolver valores de salida a la guía principal, lo que permite una interacción dinámica y una lógica condicional en tus flujos de trabajo más grandes.

Antes de empezar

Antes de crear bloques de guía, te recomendamos que dediques tiempo a planificar los procesos específicos que preveas reutilizar en las guías principales. También debes tener en cuenta los campos de entrada que tendrás que configurar para que esos bloques sean flexibles y adaptables.

Añadir un bloque nuevo

En este ejemplo se crea un bloque que gestiona la comunicación entre el SOC y sus clientes.

Para añadir un bloque nuevo, sigue estos pasos:

  1. En la página Playbooks, haz clic en Añadir, elige la carpeta y el entorno, y haz clic en Crear. Recomendamos que los usuarios administradores hagan clic en Todos los entornos.
  2. Introduce el nombre del nuevo bloque de runbook.
  3. Añadir entrada:
    1. Selecciona Entrada.
    2. Haz clic en Añadir e introduce los campos de nombre y valor de entrada. Puedes añadir tantos campos como necesites.
  4. Usarás las siguientes entradas para condicionar el flujo de este bloque:
    1. Tipo de comunicación: Requiere aprobación (este es uno de los dos tipos definidos; el otro es Investigar).
    2. Método de comunicación: correo electrónico.
    3. Additional Message (Mensaje adicional): deja este campo en blanco.
  5. Si añade valores a estos campos, se usarán como ajustes predeterminados. Aunque estos valores predeterminados se establecen al configurar el bloque, puedes modificarlos en cada instancia del bloque una vez que se haya insertado en un manual de procedimientos principal. Este método admite flujos de trabajo adaptables y dinámicos.

Configurar el paso del flujo para el tipo de entrada

Añade un paso de flujo al bloque. Este paso crea diferentes ramificaciones, lo que permite que el cuaderno de estrategias siga una ruta específica en función del Tipo de entrada que introduzcas. Usarás marcadores de posición para recoger los tipos de entrada Investigar y Requiere aprobación.

Rama 1: Requerir aprobación (opción predeterminada)

Esta rama gestiona el tipo de entrada Require Approval (Requerir aprobación) y es tu rama predeterminada.

  1. Configura la condición Requerir aprobación para iniciar esta rama.
  2. En la columna Acciones, seleccione Correo > Enviar correo e introduzca los parámetros necesarios para enviar un correo. Normalmente, en este correo se solicita la aprobación del usuario para que un analista de seguridad corrija su máquina.
  3. Selecciona Flujo > Condición e introduce los parámetros necesarios para confirmar si el cliente ha aprobado la solicitud.
  4. Resultado (ruta aprobada): en el paso de resultado de la ruta aprobada de esta condición, añade Aprobado. Este valor se devolverá al bloque principal.
  5. Resultado (rama Else - No aprobado): en el paso de resultado de la rama Else (en el que el cliente ha respondido negativamente a la solicitud de aprobación), añade No aprobado en el cuadro Resultado.

Opción 2: Investigar

Esta rama define las acciones del tipo de entrada Investigar.

  1. En la columna Acciones, selecciona Correo > Enviar correo y rellena los parámetros obligatorios. Se añade un marcador de posición para el mensaje adicional. Si cambias el Tipo a Investigar en el manual de respuestas principal, introduce un mensaje en el campo Añadir mensaje.
  2. Selecciona Siemplify > Asignar caso para asignar el caso al cliente. De esta forma, el analista de nivel 1 revisará el incidente y será el responsable de la investigación inicial.
  3. Selecciona Siemplify > Cambiar fase del caso. En este paso se da por hecho que el cliente está investigando activamente, por lo que la fase del caso cambia a Investigación.
  4. Selecciona Siemplify > Asignar caso. En este paso se da por hecho que el cliente ha completado su investigación y ha solicitado al SOC que recupere la propiedad del caso.
  5. Selecciona Siemplify > Cambiar fase del caso. De este modo, la fase del caso cambia de Investigación a Evaluación, lo que permite que el SOC reanude la gestión del caso.
  6. En el paso Salida, añade las palabras Investigación completada para volver a la guía superior.

Este bloque ahora está configurado con lógica condicional y puedes insertarlo en varios cuadernos de estrategias principales, adaptando su comportamiento en función de la entrada Tipo de comunicación.

Insertar un bloque

Para insertar un bloque, sigue estos pasos:

  1. En la página Playbooks, haz clic en Añadir paso.
  2. En el cuadro Selección de pasos, selecciona la sección Bloques.
  3. Arrastra el bloque necesario al centro del manual. 

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.