Trabalhar com blocos de playbook

Compatível com:

Os blocos são essencialmente miniplaybooks reutilizáveis que permitem implementar fluxos de trabalho comuns e decisões lógicas em vários playbooks. Essa capacidade de reutilização torna a manutenção e as melhorias eficientes, porque qualquer edição ou mudança em um bloco afeta automaticamente todos os playbooks que o incorporam.

É possível configurar campos de parâmetros de entrada em blocos para ajustar o fluxo interno de ações ao usá-los em outros playbooks. Os blocos também podem retornar valores de saída ao manual principal, o que oferece suporte à interação dinâmica e à lógica condicional nos seus fluxos de trabalho maiores.

Antes de começar

Antes de criar blocos de playbook, recomendamos que você mapeie processos específicos que pretende reutilizar em playbooks principais. Considere também os campos de entrada que você precisará configurar para tornar esses blocos flexíveis e adaptáveis.

Adicionar um novo bloco

Este exemplo cria um bloco que gerencia a comunicação entre o SOC e os clientes.

Para adicionar um novo bloco, faça o seguinte:

  1. Na página Playbooks, clique em Adicionar, escolha a pasta e o ambiente e clique em Criar. Recomendamos que os usuários administradores cliquem em Todos os ambientes.
  2. Insira o nome do novo bloco de playbook.
  3. Adicione uma entrada:
    1. Selecione Entrada.
    2. Clique em Adicionar e insira os campos de nome e valor de entrada. Você pode adicionar quantos campos precisar.
  4. Você vai usar as seguintes entradas para condicionar o fluxo deste bloco:
    1. Tipo de comunicação: Exigir aprovação. Esse é um dos dois tipos definidos. O outro é Investigar.
    2. Método de comunicação: e-mail.
    3. Mensagem adicional: deixe em branco.
  5. Se você adicionar valores a esses campos, eles vão servir como configurações padrão. Embora esses padrões sejam estabelecidos quando você configura o bloco, é possível modificá-los para cada instância individual depois que ela é inserida em um playbook principal. Esse método é compatível com fluxos de trabalho adaptáveis e dinâmicos.

Configurar a etapa de fluxo para o tipo de entrada

Adicione uma etapa de fluxo ao bloco. Essa etapa cria ramificações diferentes, permitindo que o playbook siga um caminho específico com base no Tipo de entrada inserido. Você vai usar marcadores de posição para escolher os tipos de entrada Investigar e Requer aprovação.

Ramificação 1: exigir aprovação (padrão)

Essa ramificação processa o tipo de entrada Exigir aprovação e é a ramificação padrão.

  1. Configure a condição Exigir aprovação para iniciar esse branch.
  2. Na coluna Ações, selecione E-mail > Enviar e-mail e insira os parâmetros necessários para enviar um e-mail. Normalmente, esse e-mail pede a aprovação do usuário para que um analista de segurança corrija a máquina dele.
  3. Selecione Fluxo > Condição e insira os parâmetros necessários para confirmar se o cliente aprovou a solicitação.
  4. Saída (caminho aprovado): na etapa de saída do caminho approved dessa condição, adicione Approved. Esse valor será retornado ao bloco principal.
  5. Saída (ramo "Else" - não aprovado): na etapa de saída do ramo "Else" (em que o cliente respondeu negativamente ao pedido de aprovação), adicione Não aprovado na caixa Saída.

Ramificação 2: investigar

Essa ramificação define as ações para o tipo de entrada Investigar.

  1. Na coluna Ações, selecione E-mail > Enviar e-mail e preencha os parâmetros obrigatórios. Um marcador de posição é adicionado para a mensagem extra. Se você mudar o Tipo para Investigar no playbook principal, insira uma mensagem no campo Inserir mensagem adicional.
  2. Selecione Siemplify > Atribuir caso para atribuir o caso ao cliente. Essa ação direciona o analista de nível 1 a analisar o incidente, transferindo a responsabilidade da investigação inicial para ele.
  3. Selecione Siemplify > Change Case Stage. Esta etapa pressupõe a confirmação de que o cliente está investigando ativamente, então o estágio do caso é alterado para Investigação.
  4. Selecione Siemplify > Atribuir caso. Esta etapa pressupõe que o cliente concluiu a investigação e pediu ao SOC para reivindicar a propriedade do caso.
  5. Selecione Siemplify > Change Case Stage. Essa etapa muda o estágio do caso de Investigação para Avaliação, permitindo que a SOC retome o tratamento do caso.
  6. Na etapa "Saída", adicione as palavras Investigação concluída para voltar ao playbook principal.

Esse bloco agora está configurado com lógica condicional e pode ser inserido em vários playbooks principais, adaptando o comportamento com base na entrada Tipo de comunicação.

Inserir um bloco

Para inserir um bloco, faça o seguinte:

  1. Na página Playbooks, clique em Adicionar etapa.
  2. Na caixa Seleção de etapa, selecione a seção Blocos.
  3. Arraste o bloco necessário para o centro do playbook. 

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.