Utiliser les blocs de playbook

Compatible avec :

Les blocs sont essentiellement des mini-playbooks réutilisables qui vous permettent d'implémenter des workflows et des décisions logiques courants dans plusieurs playbooks. Cette réutilisabilité permet d'assurer la maintenance et d'apporter des améliorations de manière efficace, car toute modification apportée à un bloc affecte automatiquement tous les playbooks qui l'intègrent.

Vous pouvez configurer les champs de paramètres d'entrée dans les blocs pour ajuster leur flux d'actions interne lorsque vous les utilisez dans d'autres playbooks. Les blocs peuvent également renvoyer des valeurs de sortie au playbook parent, ce qui permet une interaction dynamique et une logique conditionnelle dans vos workflows plus importants.

Avant de commencer

Avant de créer des blocs de playbook, nous vous recommandons de prendre le temps de cartographier les processus spécifiques que vous prévoyez de réutiliser dans les playbooks parents. Pensez également aux champs de saisie que vous devrez configurer pour rendre ces blocs flexibles et adaptables.

Ajouter un bloc

Cet exemple crée un bloc qui gère la communication entre le SOC et ses clients.

Pour ajouter un bloc :

  1. Sur la page Playbooks, cliquez sur Add (Ajouter), sélectionnez le dossier et l'environnement, puis cliquez sur Create (Créer). Nous recommandons aux utilisateurs administrateurs de cliquer sur Tous les environnements.
  2. Saisissez le nom du nouveau bloc de playbook.
  3. Ajouter une entrée :
    1. Sélectionnez Entrée.
    2. Cliquez sur Ajouter, puis saisissez les champs "Nom de l'entrée" et "Valeur". Vous pouvez ajouter autant de champs que nécessaire.
  4. Vous utiliserez les entrées suivantes pour conditionner le flux de ce bloc :
    1. Type de communication : Approbation requise (il s'agit de l'un des deux types définis, l'autre étant Enquête).
    2. Méthode de communication : E-mail
    3. Message supplémentaire : laissez ce champ vide.
  5. Si vous ajoutez des valeurs à ces champs, elles serviront de paramètres par défaut. Ces valeurs par défaut sont définies lorsque vous configurez le bloc. Toutefois, vous pouvez les modifier pour chaque instance de bloc une fois qu'elle est insérée dans un playbook parent. Cette méthode est compatible avec les workflows adaptables et dynamiques.

Configurer l'étape du flux pour le type d'entrée

Ajoutez une étape de flux à votre bloc. Cette étape crée différentes branches, ce qui permet au playbook de suivre un chemin spécifique en fonction du type d'entrée que vous saisissez. Vous utiliserez des espaces réservés pour sélectionner les types d'entrée Investigate (Enquêter) et Requires Approval (Nécessite une approbation).

Branche 1 : Approbation requise (par défaut)

Cette branche gère le type d'entrée Approbation requise et constitue votre branche par défaut.

  1. Configurez la condition Approbation requise pour démarrer cette branche.
  2. Dans la colonne Actions, sélectionnez E-mail > Envoyer un e-mail, puis saisissez les paramètres requis pour envoyer un e-mail. Cet e-mail demande généralement à l'utilisateur d'autoriser un analyste de la sécurité à corriger les problèmes de son ordinateur.
  3. Sélectionnez Flux > Condition et saisissez les paramètres requis pour confirmer si le client a approuvé la demande.
  4. Sortie (chemin d'accès "Approuvé") : à l'étape de sortie du chemin d'accès approved de cette condition, ajoutez Approuvé. Cette valeur sera renvoyée au bloc parent.
  5. Sortie (branche "Else" – Non approuvé) : dans l'étape de sortie de la branche "Else" (où le client a répondu négativement à la demande d'approbation), ajoutez Non approuvé dans la zone Sortie.

Branche 2 : Examiner

Cette branche définit les actions pour le type d'entrée Investigate (Enquêter).

  1. Dans la colonne Actions, sélectionnez E-mail > Envoyer un e-mail, puis renseignez les paramètres requis. Un espace réservé est ajouté pour le message supplémentaire. Si vous définissez le Type sur Investigate (Enquêter) dans le playbook parent, saisissez un message dans le champ Input Additional Message (Saisir un message supplémentaire).
  2. Sélectionnez Siemplify > Attribuer la demande pour attribuer la demande au client. Cette action demande à l'analyste de niveau 1 d'examiner l'incident, ce qui lui confie la responsabilité de l'enquête initiale.
  3. Sélectionnez Siemplify > Modifier l'état de la demande. Cette étape suppose que le client est en train d'étudier le problème. L'état de la demande est donc défini sur En cours d'examen.
  4. Sélectionnez Siemplify > Attribuer la demande. Cette étape suppose que le client a terminé son enquête et a demandé au SOC de récupérer la propriété de la demande.
  5. Sélectionnez Siemplify > Modifier l'état de la demande. Cette étape fait passer l'état de la demande de En cours d'investigation à En cours d'évaluation, ce qui permet au SOC de reprendre le traitement de la demande.
  6. Dans l'étape "Sortie", ajoutez les mots Investigation terminée pour revenir au playbook parent.

Ce bloc est désormais configuré avec une logique conditionnelle. Vous pouvez l'insérer dans différents playbooks parents, en adaptant son comportement en fonction de l'entrée Type de communication.

Insérer un bloc existant

Pour insérer un bloc existant :

  1. Sur la page Playbooks, cliquez sur Ajouter une étape.
  2. Dans la zone Sélection d'étape, sélectionnez la section Blocs.
  3. Faites glisser le bloc requis au centre du playbook. 

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.