Trabaja con bloques de guías

Compatible con:

Los bloques son, básicamente, mini guías reutilizables que te permiten implementar flujos de trabajo y decisiones lógicas comunes en varias guías. Esta reutilización hace que el mantenimiento y las mejoras sean eficientes, ya que cualquier edición o cambio en un bloque afecta automáticamente a todos los playbooks que lo incorporan.

Puedes configurar los campos de parámetros de entrada en los bloques para ajustar su flujo interno de acciones cuando los uses en otros playbooks. Los bloques también pueden devolver valores de salida al playbook principal, lo que admite la interacción dinámica y la lógica condicional dentro de tus flujos de trabajo más grandes.

Antes de comenzar

Antes de crear bloques de guías, te recomendamos que te tomes un tiempo para definir los procesos específicos que prevés reutilizar en las guías principales. Además, considera los campos de entrada que deberás configurar para que esos bloques sean flexibles y adaptables.

Agregar un bloque nuevo

En este ejemplo, se crea un bloque que administra la comunicación entre el SOC y sus clientes.

Para agregar un bloque nuevo, haz lo siguiente:

  1. En la página Playbooks, haz clic en Agregar, elige la carpeta y el entorno, y, luego, haz clic en Crear. Recomendamos que los usuarios administradores hagan clic en Todos los entornos.
  2. Ingresa el nombre del nuevo bloque del playbook.
  3. Agregar entrada:
    1. Selecciona Entrada.
    2. Haz clic en Agregar y, luego, ingresa los campos de nombre y valor de entrada. Puedes agregar todos los campos que necesites.
  4. Usarás las siguientes entradas para condicionar el flujo de este bloque:
    1. Tipo de comunicación: Require Approval (requiere aprobación; este es uno de los dos tipos definidos; el otro es Investigate, investigar).
    2. Método de comunicación: Correo electrónico.
    3. Additional Message: Déjalo en blanco.
  5. Si agregas valores a estos campos, se usarán como parámetros de configuración predeterminados. Si bien estos valores predeterminados se establecen cuando configuras el bloque, puedes modificarlos para cada instancia de bloque individual una vez que se inserta en un guion principal. Este método admite flujos de trabajo adaptables y dinámicos.

Configura el paso del flujo para el tipo de entrada

Agrega un paso de flujo a tu bloque. En este paso, se crean diferentes ramas, lo que permite que la guía siga una ruta específica según el Tipo de entrada que ingreses. Usarás marcadores de posición para seleccionar los tipos de entrada Investigar y Requiere aprobación.

Rama 1: Se requiere aprobación (opción predeterminada)

Esta rama controla el tipo de entrada Require Approval y es tu rama predeterminada.

  1. Configura la condición Require Approval para iniciar esta rama.
  2. En la columna Acciones, selecciona Correo electrónico > Enviar correo electrónico y, luego, ingresa los parámetros necesarios para enviar un correo electrónico. Por lo general, en este correo electrónico se solicita la aprobación del usuario para que un analista de seguridad corrija su máquina.
  3. Selecciona Flujo > Condición y, luego, ingresa los parámetros necesarios para confirmar si el cliente aprobó la solicitud.
  4. Salida (ruta de acceso aprobada): En el paso de salida de la ruta de acceso aprobada de esta condición, agrega Aprobado. Este valor se devolverá al bloque principal.
  5. Resultado (rama Else: No aprobado): En el paso de resultado de la rama Else (en el que el cliente respondió de forma negativa a la solicitud de aprobación), agrega Not Approved en el cuadro Output.

Rama 2: Investiga

Esta rama define las acciones para el tipo de entrada Investigate.

  1. En la columna Acciones, selecciona Correo electrónico > Enviar correo electrónico y completa los parámetros obligatorios. Se agrega un marcador de posición para el mensaje adicional. Si cambias el Tipo a Investigar en el manual principal, ingresa un mensaje en el campo Ingresa un mensaje adicional.
  2. Selecciona Siemplify > Assign Case para asignar el caso al cliente. Esta acción dirige al analista de nivel 1 para que revise el incidente, lo que le transfiere la responsabilidad de la investigación inicial.
  3. Selecciona Siemplify > Change Case Stage. En este paso, se supone que se confirmó que el cliente está investigando activamente, por lo que la etapa del caso cambia a Investigación.
  4. Selecciona Siemplify > Asignar caso. En este paso, se supone que el cliente completó su investigación y solicitó al SOC que recupere la propiedad del caso.
  5. Selecciona Siemplify > Change Case Stage. Con este paso, la etapa del caso cambia de Investigación a Evaluación, lo que permite que el SOC reanude el manejo del caso.
  6. En el paso Output, agrega las palabras Investigation Completed para volver a la guía principal.

Este bloque ahora está configurado con lógica condicional y puedes insertarlo en varios guiones principales, adaptando su comportamiento según la entrada de Tipo de comunicación.

Cómo insertar un bloque existente

Para insertar un bloque existente, haz lo siguiente:

  1. En la página Guías, haz clic en Agregar paso.
  2. En el cuadro Selección de pasos, selecciona la sección Bloques.
  3. Arrastra el bloque requerido al centro del manual. 

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.