Utilizzare i blocchi del playbook

Supportato in:

I blocchi sono essenzialmente mini-playbook riutilizzabili che ti consentono di implementare flussi di lavoro comuni e decisioni logiche in più playbook. Questa riusabilità rende efficienti la manutenzione e i miglioramenti, perché qualsiasi modifica a un blocco influisce automaticamente su tutti i playbook che lo incorporano.

Puoi configurare i campi dei parametri di input nei blocchi per regolare il flusso interno di azioni quando li utilizzi in altri playbook. I blocchi possono anche restituire valori di output al playbook principale, che supporta l'interazione dinamica e la logica condizionale all'interno dei workflow più grandi.

Prima di iniziare

Prima di creare i blocchi del playbook, ti consigliamo di dedicare del tempo a mappare i processi specifici che prevedi di riutilizzare nei playbook principali. Inoltre, considera i campi di input che dovrai configurare per rendere questi blocchi flessibili e adattabili.

Aggiungere un nuovo blocco

Questo esempio crea un blocco che gestisce la comunicazione tra il SOC e i suoi clienti.

Per aggiungere un nuovo blocco:

  1. Nella pagina Playbook, fai clic su Aggiungi, scegli la cartella e l'ambiente, quindi fai clic su Crea. Consigliamo agli utenti amministratori di fare clic su Tutti gli ambienti.
  2. Inserisci il nome del nuovo blocco del playbook.
  3. Aggiungi input:
    1. Seleziona Input.
    2. Fai clic su Aggiungi e inserisci i campi nome e valore dell'input. Puoi aggiungere tutti i campi che ti servono.
  4. Utilizzerai i seguenti input per condizionare il flusso di questo blocco:
    1. Tipo di comunicazione: Richiedi approvazione (questo è uno dei due tipi definiti; l'altro è Indaga).
    2. Metodo di comunicazione: email.
    3. Additional Message (Messaggio aggiuntivo): lascia vuoto.
  5. Se aggiungi valori a questi campi, verranno utilizzati come impostazioni predefinite. Questi valori predefiniti vengono stabiliti quando configuri il blocco, ma puoi modificarli per ogni singola istanza del blocco una volta inserita in un playbook principale. Questo metodo supporta flussi di lavoro adattabili e dinamici.

Configura il passaggio del flusso per il tipo di input

Aggiungi un passaggio del flusso al blocco. Questo passaggio crea rami diversi, consentendo al playbook di seguire un percorso specifico in base al tipo di input inserito. Utilizzerai i segnaposto per selezionare i tipi di input Investiga e Richiede approvazione.

Branch 1: Require Approval (richiede l'approvazione) (impostazione predefinita)

Questo ramo gestisce il tipo di input Richiedi approvazione ed è il ramo predefinito.

  1. Configura la condizione Richiedi approvazione per avviare questo ramo.
  2. Nella colonna Azioni, seleziona Email > Invia email e inserisci i parametri richiesti per inviare un'email. Questa email in genere richiede l'approvazione dell'utente per consentire a un analista della sicurezza di correggere il suo computer.
  3. Seleziona Flusso > Condizione e inserisci i parametri richiesti per verificare se il cliente ha approvato la richiesta.
  4. Output (percorso approvato): nel passaggio di output per il percorso approvato di questa condizione, aggiungi Approvato. Questo valore verrà restituito al blocco principale.
  5. Output (ramo Else - Non approvato): nel passaggio di output del ramo Else (in cui il cliente ha risposto negativamente alla richiesta di approvazione), aggiungi Non approvato nella casella Output.

Branch 2: Investigate

Questo ramo definisce le azioni per il tipo di input Investiga.

  1. Nella colonna Azioni, seleziona Email > Invia email e compila i parametri obbligatori. Viene aggiunto un segnaposto per il messaggio aggiuntivo. Se modifichi il Tipo in Investiga nel playbook genitore, inserisci un messaggio nel campo Inserisci messaggio aggiuntivo.
  2. Seleziona Siemplify > Assegna richiesta per assegnare la richiesta al cliente. Questa azione indirizza l'analista di livello 1 a esaminare l'incidente, trasferendo a lui la responsabilità dell'indagine iniziale.
  3. Seleziona Siemplify > Cambia fase della richiesta. Questo passaggio presuppone la conferma che il cliente sta indagando attivamente, quindi lo stato della richiesta viene modificato in Indagine.
  4. Seleziona Siemplify > Assegna richiesta. Questo passaggio presuppone che il cliente abbia completato l'indagine e abbia chiesto al SOC di rivendicare la proprietà della richiesta.
  5. Seleziona Siemplify > Cambia fase della richiesta. Questo passaggio ora cambia la fase della richiesta da Indagine a Valutazione, consentendo al SOC di riprendere la gestione della richiesta.
  6. Nel passaggio Output, aggiungi le parole Indagine completata per tornare al playbook principale.

Questo blocco è ora configurato con la logica condizionale e puoi inserirlo in vari playbook principali, adattando il suo comportamento in base all'input Tipo di comunicazione.

Inserire un blocco esistente

Per inserire un blocco esistente:

  1. Nella pagina Playbook, fai clic su Aggiungi passaggio.
  2. Nella casella Selezione passaggio, seleziona la sezione Blocchi.
  3. Trascina il blocco richiesto al centro del playbook. 

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.