Cómo usar flujos en guías

Compatible con:

En este documento, se explica cómo el componente Flujo dirige los próximos pasos de un manual de estrategias con un sistema de ramificación para tomar decisiones.

Los flujos de condiciones son fundamentales para permitir que un playbook tome decisiones automáticamente, ya que dirigen un caso por diferentes rutas según los datos de las alertas entrantes, los resultados de acciones anteriores o la entrada del usuario.

Están disponibles las siguientes opciones de flujo:

  • Condición: Condiciones complejas basadas en marcadores de posición, datos de casos existentes y el flujo de Acciones anteriores.
  • Pregunta de opción múltiple: Son preguntas que los analistas deben responder manualmente.
  • Condiciones de las acciones anteriores: Son los datos recuperados de las acciones anteriores que se ejecutaron en la guía.

Agregar flujos de condición

En esta sección, se describe cómo usar los flujos de condición para crear una lógica dinámica de ramificación en tus manuales.

Agrega un flujo de condición única

Para agregar un solo flujo de condición, sigue estos pasos:

  1. En la página Response > Playbooks, haz clic en Open Step Selection.
  2. En Selección de pasos, selecciona la sección Flujo.
  3. Arrastra la condición al paso o entre dos acciones, según cómo estés creando tu guía.
  4. Haz doble clic en la condición para abrir el diálogo.
  5. Selecciona las entidades requeridas.
  6. Decide cuántas ramas quieres crear. Cada rama tiene un OR entre ellas.
  7. Selecciona y agrega parámetros para cada rama de la siguiente manera:
    1. Selecciona los parámetros de eventos, casos o alertas necesarios, o los datos enriquecidos que se encuentran en tu plataforma de Google Security Operations. Para los usuarios nuevos, este campo está vacío si aún no has transferido ninguna alerta.
    2. Selecciona el operador requerido: Es igual a/No es igual a, Contiene/No contiene, Comienza con o Mayor que/Menor que
    3. Elige un valor. Para este ejemplo, elige tres ramas (en la que la tercera es la rama predeterminada de la rama Else).
      • En la rama 1: Alertas bloqueadas o alertas sin una firma de amenaza; luego, haz X (el siguiente paso del manual).
        Rama 1: Operador lógico establecido en Or.
        Alert.CategoryOutcome = Blocked
        Alert.ThreatSignature [] Empty
      • En la rama 2: Se permiten las alertas con una firma de amenaza.
        Rama 2: Operador lógico establecido en And
        Alert.CategoryOutcome = Allowed
        Alert. ThreatSignature ![] NotEmpty
      • En la rama 3: La rama Else predeterminada.
  8. Define una "rama de resguardo" para evitar condiciones fallidas. Si una condición se basa en acciones anteriores y una de esas acciones falló (y se omitió), la condición continúa por la rama de resguardo en lugar de detenerse. Para seleccionar una rama de resguardo, consulta Cómo definir una rama de resguardo.
  9. Haz clic en Guardar. Ahora, el manual de estrategias tiene tres ramas: 1, 2 y E (Else).
  10. Establece el resultado de (al menos) una rama para marcar la guía como completada.

Agregar un flujo de preguntas de opción múltiple 

  1. Arrastra la condición Preguntas de opción múltiple al cuadro Paso final.
  2. Haz clic en Preguntas de opción múltiple para abrir el diálogo.
  3. Agrega una pregunta con tantas respuestas como necesites.
  4. Haz clic en Guardar. El manual se abre en cuatro ramas.
  5. Establece el resultado de al menos una rama para marcarla como completada.

Agrega un flujo de condiciones de acciones anteriores

Para agregar un flujo de condiciones de acciones anteriores, sigue estos pasos:

  1. Arrastra Previous Actions Conditions al cuadro Final Step.
  2. Haz clic en Previous Actions Conditions para abrir el diálogo.
  3. Decide cuántas ramas crear. Cada rama tiene un OR entre ellas.
  4. Agregar un parámetro: Selecciona el parámetro requerido. En la lista, solo se muestran los resultados del script de acción de esta guía.
  5. Selecciona el operador requerido: Es igual a/No es igual a, Contiene/No contiene, Comienza con o Mayor que/Menor que
  6. Elige el valor (el resultado de la acción).
  7. Puedes agregar más parámetros a cada rama y elegir un operador lógico: AND o OR.
  8. Haz clic en Guardar. La guía abre tres ramas: 1, 2 y Else.
  9. Establece el resultado de al menos una rama para completar la guía.

Cómo definir una rama de resguardo

  1. En uno de los flujos (Condición o Condición de acciones anteriores), selecciona la rama que se usará como rama de resguardo. En este ejemplo, se usa la rama Branch not risky.
    No es necesario que agregues una rama de resguardo.
  2. Cuando se ejecuta la guía y fallan las acciones anteriores, la guía elige la rama de resguardo y continúa.

Cómo quitar un flujo

Cuando quitas un flujo de un playbook, el sistema te solicita que quites toda la rama o solo un aspecto de ella.

Cómo combinar ramas

Puedes combinar diferentes ramas de la guía en una sola. Para ello, arrastra una acción de una de las ramas y suéltala en el cuadro Paso final de otra rama. La guía puede continuar después de este paso o finalizar aquí.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.