Trabalhe com blocos de guias interativos

Compatível com:

Os blocos são essencialmente minilivros de jogadas reutilizáveis que lhe permitem implementar fluxos de trabalho comuns e decisões lógicas em vários livros de jogadas. Esta reutilização torna a manutenção e as melhorias eficientes, porque qualquer edição ou alteração a um bloco afeta automaticamente todos os manuais de procedimentos que o incorporam.

Pode configurar campos de parâmetros de entrada em blocos para ajustar o respetivo fluxo interno de ações quando os usa noutros manuais de procedimentos. Os blocos também podem devolver valores de saída ao manual de procedimentos principal, o que suporta a interação dinâmica e a lógica condicional nos seus fluxos de trabalho maiores.

Antes de começar

Antes de criar blocos de guias interativos, recomendamos que reserve algum tempo para mapear processos específicos que prevê reutilizar em guias interativos principais. Considere também os campos de entrada que tem de configurar para tornar esses blocos flexíveis e adaptáveis.

Adicione um novo bloco

Este exemplo cria um bloco que gere a comunicação entre o SOC e os respetivos clientes.

Para adicionar um novo bloco, faça o seguinte:

  1. Na página Playbooks, clique em Adicionar, escolha a pasta e o ambiente e, de seguida, clique em Criar. Recomendamos que os utilizadores administradores cliquem em Todos os ambientes.
  2. Introduza o nome do novo bloco do manual de soluções.
  3. Adicionar entrada:
    1. Selecione Entrada.
    2. Clique em Adicionar e introduza os campos de nome e valor de entrada. Pode adicionar todos os campos de que precisar.
  4. Vai usar as seguintes entradas para condicionar o fluxo deste bloco:
    1. Tipo de comunicação: Aprovação necessária (este é um de dois tipos definidos; o outro é Investigar).
    2. Método de comunicação: email.
    3. Mensagem adicional: deixe em branco.
  5. Se adicionar valores a estes campos, estes vão funcionar como definições predefinidas. Embora estas predefinições sejam estabelecidas quando configura o bloco, pode modificá-las para cada instância de bloco individual assim que for inserida num manual principal. Este método suporta fluxos de trabalho adaptáveis e dinâmicos.

Configure o passo do fluxo para o tipo de entrada

Adicione um passo de fluxo ao seu bloco. Este passo cria ramificações diferentes, permitindo que o manual siga um caminho específico com base no Tipo de entrada que introduzir. Vai usar marcadores de posição para selecionar os tipos de entrada Investigar e Requer aprovação.

Ramo 1: exigir aprovação (predefinição)

Esta ramificação processa o tipo de entrada Require Approval e é a sua ramificação predefinida.

  1. Configure a condição Aprovação necessária para iniciar este ramo.
  2. Na coluna Ações, selecione Email > Enviar email e introduza os parâmetros necessários para enviar um email. Normalmente, este email pede a aprovação do utilizador para que um analista de segurança corrija o respetivo computador.
  3. Selecione Fluxo > Condição e introduza os parâmetros necessários para confirmar se o cliente aprovou o pedido.
  4. Resultado (caminho aprovado): no passo de resultado do caminho aprovado desta condição, adicione Aprovado. Este valor é devolvido ao bloco principal.
  5. Resultado (ramo Else – Não aprovado): no passo de resultado do ramo Else (onde o cliente respondeu negativamente ao pedido de aprovação), adicione Não aprovado na caixa Resultado.

Ramo 2: investigar

Este ramo define as ações para o tipo de entrada Investigar.

  1. Na coluna Ações, selecione Email > Enviar email e preencha os parâmetros obrigatórios. É adicionado um marcador de posição para a mensagem adicional. Se alterar o Tipo para Investigar no manual principal, introduza uma mensagem no campo Introduzir mensagem adicional.
  2. Selecione Siemplify > Assign Case para atribuir o registo ao cliente. Esta ação direciona o analista de nível 1 para rever o incidente, transferindo para ele a responsabilidade da investigação inicial.
  3. Selecione Siemplify > Alterar fase do registo. Este passo pressupõe a confirmação de que o cliente está a investigar ativamente, pelo que a fase do registo é alterada para Investigação.
  4. Selecione Siemplify > Atribuir registo. Este passo pressupõe que o cliente concluiu a respetiva investigação e pediu ao SOC para reaver a propriedade do registo.
  5. Selecione Siemplify > Alterar fase do registo. Este passo altera agora a fase do registo de Investigação para Avaliação, permitindo que o SOC retome o processamento do registo.
  6. No passo Output, adicione as palavras Investigation Completed para regressar ao manual principal.

Este bloco está agora configurado com lógica condicional e pode inseri-lo em vários manuais de procedimentos principais, adaptando o respetivo comportamento com base na entrada Tipo de comunicação.

Insira um bloco existente

Para inserir um bloco existente, faça o seguinte:

  1. Na página Playbooks, clique em Adicionar passo.
  2. Na caixa Seleção de passos, selecione a secção Blocos.
  3. Arraste o bloco necessário para o centro do manual de estratégias. 

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.