플레이북 블록 작업

다음에서 지원:

블록은 기본적으로 재사용 가능한 미니 플레이북으로, 여러 플레이북에서 일반적인 워크플로와 논리적 결정을 구현할 수 있습니다. 이 재사용성 덕분에 블록을 수정하거나 변경하면 이를 통합하는 모든 플레이북에 자동으로 영향을 미치므로 유지관리 및 개선이 효율적입니다.

블록의 입력 매개변수 필드를 구성하여 다른 플레이북에서 사용할 때 내부 작업 흐름을 조정할 수 있습니다. 블록은 출력 값을 상위 플레이북에 반환할 수도 있으므로 대규모 워크플로 내에서 동적 상호작용과 조건부 로직을 지원합니다.

시작하기 전에

플레이북 블록을 만들기 전에 상위 플레이북에서 재사용할 것으로 예상되는 특정 프로세스를 매핑하는 것이 좋습니다. 또한 이러한 블록을 유연하고 적응 가능하게 만들기 위해 구성해야 하는 입력 필드도 고려하세요.

새 블록 추가

이 예에서는 SOC와 클라이언트 간의 통신을 관리하는 블록을 만듭니다.

새 블록을 추가하려면 다음 단계를 따르세요.

  1. 플레이북 페이지에서 추가를 클릭하고 폴더와 환경을 선택한 후 만들기를 클릭합니다. 관리자 사용자는 모든 환경을 클릭하는 것이 좋습니다.
  2. 새 플레이북 블록의 이름을 입력합니다.
  3. 입력 추가:
    1. 입력을 선택합니다.
    2. 추가를 클릭하고 입력 이름 및 값 필드를 입력합니다. 필드는 필요한 만큼 추가할 수 있습니다.
  4. 다음 입력을 사용하여 이 블록의 흐름을 조건화합니다.
    1. 커뮤니케이션 유형: 승인 필요 (정의된 두 가지 유형 중 하나이며 다른 유형은 조사임)
    2. 커뮤니케이션 방법: 이메일
    3. 추가 메시지: 비워둡니다.
  5. 이러한 필드에 값을 추가하면 기본 설정으로 사용됩니다. 이러한 기본값은 블록을 구성할 때 설정되지만, 상위 플레이북에 삽입된 후에는 각 개별 블록 인스턴스에 대해 수정할 수 있습니다. 이 메서드는 적응형 및 동적 워크플로를 지원합니다.

입력 유형의 흐름 단계 구성

블록에 흐름 단계를 추가합니다. 이 단계에서는 다양한 브랜치를 만들어 플레이북이 입력한 입력 유형에 따라 특정 경로를 따르도록 합니다. 자리표시자를 사용하여 조사승인 필요 입력 유형을 선택합니다.

브랜치 1: 승인 필요 (기본값)

이 브랜치는 승인 필요 입력 유형을 처리하며 기본 브랜치입니다.

  1. 이 브랜치를 시작하도록 승인 필요 조건을 구성합니다.
  2. 작업 열에서 이메일 > 이메일 보내기를 선택하고 이메일을 보내는 데 필요한 매개변수를 입력합니다. 이 이메일은 일반적으로 보안 분석가가 사용자의 머신을 수정할 수 있도록 사용자 승인을 요청합니다.
  3. 흐름 > 조건을 선택하고 고객이 요청을 승인했는지 확인하는 데 필요한 매개변수를 입력합니다.
  4. 출력 (승인된 경로): 이 조건의 approved 경로의 출력 단계에서 Approved를 추가합니다. 이 값은 상위 블록에 반환됩니다.
  5. 출력(Else 분기 - 승인되지 않음): 고객이 승인 요청에 부정적으로 응답한 Else 분기의 출력 단계에서 출력 상자에 승인되지 않음을 추가합니다.

브랜치 2: 조사

이 브랜치는 Investigate 입력 유형의 작업을 정의합니다.

  1. 작업 열에서 이메일 > 이메일 보내기를 선택하고 필수 매개변수를 입력합니다. 추가 메시지에 자리표시자가 추가됩니다. 상위 플레이북에서 유형조사로 변경하는 경우 추가 메시지 입력 필드에 메시지를 입력합니다.
  2. Siemplify > Assign Case를 선택하여 케이스를 고객에게 할당합니다. 이 조치를 통해 Tier 1 분석사에게 침해사고를 검토하도록 지시하여 초기 조사 책임을 Tier 1 분석사에게 이전합니다.
  3. Siemplify > Change Case Stage를 선택합니다. 이 단계에서는 고객이 적극적으로 조사하고 있음을 확인하므로 케이스 단계가 조사로 변경됩니다.
  4. Siemplify > Assign case를 선택합니다. 이 단계에서는 고객이 조사를 완료하고 SOC에 케이스 소유권을 되찾아 달라고 요청했다고 가정합니다.
  5. Siemplify > Change Case Stage를 선택합니다. 이제 이 단계에서 케이스 단계가 조사에서 평가로 변경되어 SOC에서 케이스 처리를 재개할 수 있습니다.
  6. '출력' 단계에서 조사 완료됨이라는 단어를 추가하여 상위 플레이북으로 돌아갑니다.

이제 이 블록이 조건부 논리로 구성되어 있으며 다양한 상위 플레이북에 삽입하여 커뮤니케이션 유형 입력에 따라 동작을 조정할 수 있습니다.

기존 블록 삽입

기존 블록을 삽입하려면 다음 단계를 따르세요.

  1. 플레이북 페이지에서 단계 추가를 클릭합니다.
  2. 단계 선택 상자에서 블록 섹션을 선택합니다.
  3. 필요한 블록을 플레이북의 중앙으로 드래그합니다. 

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.