Usar flujos en guías

Disponible en:

En este documento se explica cómo dirige el componente Flujo los pasos siguientes de un cuaderno de estrategias mediante un sistema de ramificación para tomar decisiones.

Los flujos de condiciones son esenciales para que un manual de procedimientos tome decisiones automáticamente, ya que permiten dirigir un caso por diferentes rutas en función de los datos de las alertas entrantes, los resultados de las acciones anteriores o la información introducida por el usuario.

Estas son las opciones de flujo disponibles:

  • Condición: condiciones complejas basadas en marcadores de posición, datos de casos de asistencia y el flujo Acciones anteriores.
  • Pregunta con varias opciones: preguntas que los analistas deben responder manualmente.
  • Condiciones de acciones anteriores: datos obtenidos de acciones anteriores ejecutadas en la guía.

Añadir flujos condicionales

En esta sección se describe cómo usar los flujos de condiciones para crear una lógica dinámica y ramificada en tus manuales.

Añadir un solo flujo de condición

Para añadir un solo flujo de condición, sigue estos pasos:

  1. En la página Respuesta > Playbooks, haz clic en Abrir selección de pasos.
  2. En Selección de paso, selecciona la sección Flujo.
  3. Arrastra la condición al paso o entre dos acciones, según cómo estés creando el cuaderno de estrategias.
  4. Haz doble clic en la condición para abrir el cuadro de diálogo.
  5. Selecciona las entidades necesarias.
  6. Decide cuántas ramas quieres crear. Cada rama tiene un OR entre ellas.
  7. Selecciona y añade parámetros para cada rama de la siguiente manera:
    1. Selecciona los parámetros de evento, caso o alerta, o los datos enriquecidos que necesites de tu plataforma Google Security Operations. En el caso de los usuarios nuevos, este campo está vacío si aún no has insertado ninguna alerta.
    2. Seleccione el operador necesario: Es igual a/No es igual a, Contiene/No contiene, Empieza por o Mayor que/Menor que
    3. Elige un valor. En este ejemplo, elige tres ramas (la tercera es la rama Else predeterminada).
      • En la rama 1: alertas bloqueadas o alertas sin firma de amenaza. A continuación, haz X (el siguiente paso del manual).
        Rama 1: Operador lógico definido como O.
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] Empty
      • En la rama 2: alertas permitidas con una firma de amenaza.
        Rama 2: Operador lógico definido como Y
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • En la rama 3: la rama Else predeterminada.
  8. Define una "rama alternativa" para evitar que se produzcan errores en las condiciones. Si una condición se basa en acciones anteriores y una de esas acciones ha fallado (y se ha omitido), la condición continúa por la rama alternativa en lugar de detenerse. Para seleccionar una rama alternativa, consulta Definir una rama alternativa.
  9. Haz clic en Guardar. Ahora, la guía tiene tres ramas: 1, 2 y E (Else).
  10. Define el resultado de (al menos) una rama para marcar el manual de procedimientos como completado.

Añadir un flujo de preguntas de selección múltiple

  1. Arrastra la condición Preguntas con varias opciones al cuadro Paso final.
  2. Haz clic en Preguntas de selección múltiple para abrir el cuadro de diálogo.
  3. Añade una pregunta con tantas respuestas como necesites.
  4. Haz clic en Guardar. El manual se divide en cuatro ramas.
  5. Define el resultado de al menos una rama para marcarla como completada.

Añadir un flujo de condiciones de acciones anteriores

Para añadir un flujo de condiciones de acciones anteriores, sigue estos pasos:

  1. Arrastra Condiciones de acciones anteriores al cuadro Paso final.
  2. Haz clic en Condiciones de acciones anteriores para abrir el cuadro de diálogo.
  3. Decide cuántas ramas quieres crear. Cada rama tiene un OR entre ellas.
  4. Añadir un parámetro: selecciona el parámetro que quieras. En la lista solo se muestran los resultados del script de acción de este cuaderno de estrategias.
  5. Seleccione el operador necesario: Es igual a/No es igual a, Contiene/No contiene, Empieza por o Mayor que/Menor que
  6. Elige el valor (el resultado de la acción).
  7. Puedes añadir más parámetros a cada rama y elegir un operador lógico: Y u O.
  8. Haz clic en Guardar. El manual de procedimientos abre tres ramas: 1, 2 y Else.
  9. Define el resultado de al menos una rama para completar la guía.

Definir una rama de respaldo

  1. En uno de los flujos (Condición o Condición de acciones anteriores), selecciona la rama que quieras usar como rama alternativa. En este ejemplo se usa Branch not risky.
    No es obligatorio añadir una rama alternativa.
  2. Cuando se ejecuta la guía y las acciones anteriores fallan, la guía elige la rama alternativa y continúa.

Quitar un flujo

Cuando quitas un flujo de un manual de respuestas, el sistema te pide que elimines toda la rama o solo un aspecto de ella.

Combinar ramas

Puedes combinar diferentes ramas del manual en una sola. Para ello, arrastra una acción de una de las ramas y suéltala en el cuadro Paso final de otra rama. El manual puede continuar después de esto o terminar aquí.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.