Bekerja dengan blok playbook

Didukung di:

Blok pada dasarnya adalah playbook mini yang dapat digunakan kembali yang memungkinkan Anda menerapkan alur kerja umum dan keputusan logis di beberapa playbook. Kemampuan penggunaan ulang ini membuat pemeliharaan dan peningkatan menjadi efisien karena setiap pengeditan atau perubahan pada blok akan otomatis memengaruhi semua playbook yang menyertakannya.

Anda dapat mengonfigurasi kolom parameter input dalam blok untuk menyesuaikan alur tindakan internalnya saat Anda menggunakannya dalam playbook lain. Blok juga dapat menampilkan nilai output ke playbook induk, yang mendukung interaksi dinamis dan logika bersyarat dalam alur kerja yang lebih besar.

Sebelum memulai

Sebelum membuat blok playbook, sebaiknya luangkan waktu untuk memetakan proses tertentu yang akan Anda gunakan kembali dalam playbook induk. Pertimbangkan juga kolom input yang perlu Anda konfigurasi agar blok tersebut fleksibel dan dapat disesuaikan.

Menambahkan blok baru

Contoh ini membuat blok yang mengelola komunikasi antara SOC dan kliennya.

Untuk menambahkan blok baru, lakukan hal berikut:

  1. Di halaman Playbooks, klik Tambahkan, pilih folder dan lingkungan, lalu klik Buat. Sebaiknya pengguna administrator mengklik Semua Lingkungan.
  2. Masukkan nama blok playbook baru.
  3. Tambahkan input:
    1. Pilih Input.
    2. Klik Tambahkan, lalu masukkan kolom nama dan nilai input. Anda dapat menambahkan kolom sebanyak yang Anda butuhkan.
  4. Anda akan menggunakan input berikut untuk mengondisikan alur blok ini:
    1. Jenis Komunikasi: Perlu Persetujuan (Ini adalah salah satu dari dua jenis yang ditentukan; jenis lainnya adalah Selidiki).
    2. Metode Komunikasi: Email.
    3. Pesan Tambahan: Biarkan kosong.
  5. Jika Anda menambahkan nilai ke kolom ini, nilai tersebut akan berfungsi sebagai setelan default. Meskipun nilai default ini ditetapkan saat Anda mengonfigurasi blok, Anda dapat mengubahnya untuk setiap instance blok setelah disisipkan ke dalam playbook induk. Metode ini mendukung alur kerja yang adaptif dan dinamis.

Mengonfigurasi langkah alur untuk jenis input

Tambahkan langkah alur ke blok Anda. Langkah ini membuat cabang yang berbeda, sehingga playbook dapat mengikuti jalur tertentu berdasarkan Jenis Input yang Anda masukkan. Anda akan menggunakan placeholder untuk mengambil jenis input Selidiki dan Perlu Persetujuan.

Cabang 1: Wajibkan Persetujuan (default)

Cabang ini menangani jenis input Perlu Persetujuan dan merupakan cabang default Anda.

  1. Konfigurasi kondisi Wajibkan Persetujuan untuk memulai cabang ini.
  2. Di kolom Tindakan, pilih Email > Kirim Email, lalu masukkan parameter yang diperlukan untuk mengirim email. Email ini biasanya meminta persetujuan pengguna agar analis keamanan dapat memulihkan mesin mereka.
  3. Pilih Alur > Kondisi, lalu masukkan parameter yang diperlukan untuk mengonfirmasi apakah pelanggan telah menyetujui permintaan tersebut.
  4. Output (Jalur yang Disetujui): Pada langkah output untuk jalur disetujui dari kondisi ini, tambahkan Disetujui. Nilai ini akan ditampilkan ke blok induk.
  5. Output (Cabang Else - Tidak Disetujui): Pada langkah output cabang Else (jika pelanggan merespons negatif permintaan persetujuan), tambahkan Tidak Disetujui di kotak Output.

Cabang 2: Menyelidiki

Cabang ini menentukan tindakan untuk jenis input Selidiki.

  1. Di kolom Tindakan, pilih Email > Kirim Email dan isi parameter yang diperlukan. Placeholder ditambahkan untuk pesan tambahan. Jika Anda mengubah Jenis menjadi Selidiki di playbook induk, masukkan pesan di kolom Masukkan Pesan Tambahan.
  2. Pilih Siemplify > Tetapkan Kasus untuk menetapkan kasus kepada pelanggan. Tindakan ini mengarahkan analis Tingkat 1 mereka untuk meninjau insiden, sehingga mengalihkan tanggung jawab penyelidikan awal kepada mereka.
  3. Pilih Siemplify > Change Case Stage. Langkah ini mengasumsikan konfirmasi bahwa pelanggan sedang melakukan penyelidikan secara aktif, sehingga tahap kasus diubah menjadi Penyelidikan.
  4. Pilih Siemplify > Tetapkan kasus. Langkah ini mengasumsikan bahwa pelanggan telah menyelesaikan penyelidikannya dan telah meminta SOC untuk mengklaim kembali kepemilikan kasus.
  5. Pilih Siemplify > Change Case Stage. Langkah ini akan mengubah tahap kasus dari Investigasi menjadi Penilaian, sehingga SOC dapat melanjutkan penanganan kasus.
  6. Di langkah Output, tambahkan kata-kata Investigation Completed untuk kembali ke playbook induk.

Blok ini kini dikonfigurasi dengan logika bersyarat dan Anda dapat menyisipkannya ke dalam berbagai playbook induk, yang menyesuaikan perilakunya berdasarkan input Jenis Komunikasi.

Menyisipkan blok yang ada

Untuk menyisipkan blok yang ada, lakukan hal berikut:

  1. Di halaman Playbook, klik Tambahkan Langkah.
  2. Di kotak Step Selection, pilih bagian Blocks.
  3. Tarik blok yang diperlukan ke tengah playbook. 

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.