Trabalhar com o simulador de playbooks

Compatível com:

O Simulador de playbook oferece uma abordagem simplificada para desenvolver playbooks com menos tempo e esforço.

O simulador de playbooks oferece vários recursos importantes, permitindo que você:

  • Trabalhe em um ambiente de pré-produção, permitindo testar ações e observar resultados sem afetar os dados de produção ativos, principalmente quando o playbook está desativado.
  • Facilite o teste de cada etapa ou bloco individual do playbook para confirmar se o fluxo de trabalho funciona conforme o esperado.
  • Teste todas as ramificações de condição possíveis no seu playbook, confirmando a cobertura abrangente e o comportamento previsível.

Usar o simulador de playbooks com seu playbook

Ao trabalhar com playbooks, seja usando um existente ou criando um novo, sempre comece ativando o simulador de playbooks. Um indicador verde vai aparecer na parte de cima confirmando que ele está ativo.

Se você usar o simulador de playbooks em um playbook ativo, isso vai afetar todos os alertas recebidos que acionam esse playbook. Isso acontece porque salvar um playbook com dados simulados aplica esses dados a casos ativos em produção, o que pode afetar os resultados no mundo real.

  1. Passe o cursor sobre um alerta de caso, clique em more_vert Opções de alerta e selecione Ingerir alerta como caso de teste. Essa ação cria um caso de teste para executar o playbook simulado. As entidades modificadas em casos de teste não têm influência nas entidades em casos regulares.
  2. Mantenha o cursor na parte de baixo da página Playbooks e selecione um caso de teste. Confira se o caso de teste selecionado corresponde ao manual de instruções que você quer executar. Para confirmar, clique em Entidades e verifique se o playbook consegue processar as entidades presentes nesse caso de teste.
  3. Clique em Executar. O simulador processa as etapas, executa as ações definidas e fornece os resultados.

Interpretar os resultados do simulador para cada etapa

Depois de clicar em Executar, a primeira linha no console vai aparecer como se fosse um playbook ativo. Cada etapa simulada apresenta opções, geralmente incluindo Dados do caso, Ver resultados e Fixar resultados (ou Inserir resultados). As etapas manuais solicitam um botão para inserir parâmetros, fornecer respostas e executar a etapa.

Dados do caso

O ícone Dados do caso abre uma caixa de diálogo para mostrar as informações do caso naquela etapa específica, depois que a ação atual é concluída. Essa caixa de diálogo é atualizada dinamicamente com os resultados da etapa atual. Se uma ação adicionou enriquecimento ao caso, isso vai aparecer aqui. Como ele mostra o estado do caso após a execução de uma etapa, os dados variam para cada etapa no console de simulação. A inspeção dos dados do caso em diferentes etapas ajuda a entender as mudanças aplicadas a ele durante a execução do playbook. Várias guias na caixa de diálogo fornecem mais detalhes.

Ver resultados

A opção Ver resultados mostra os resultados específicos da ação da etapa atual. As informações apresentadas são semelhantes a uma visão geral ou um painel de casos e também incluem detalhes sobre enriquecimentos.

Você pode acessar estes tipos de informações:

  • A guia principal mostra a mensagem de saída, as tabelas, os links e os anexos.
  • A guia "Detalhes técnicos" mostra o resultado da ação e o resultado em JSON (se houver).

Assim como em outras opções, você pode clicar nos dados para uma inspeção mais detalhada. Na página Ver resultados, também é possível clicar em Definir resultado JSON. Com esse recurso, é possível substituir a amostra JSON da ação atual. Você pode modificar essa amostra JSON diretamente no ambiente de desenvolvimento integrado (IDE) e criar com base nela no Criador de expressões para extrair dados específicos do resultado JSON.

Fixar resultados

A opção Fixar resultados fica disponível quando uma etapa é executada com sucesso. Esse é um recurso muito útil que permite tratar o resultado de uma ação como fixo.

Fixar resultados pode economizar seu tempo ao:

  • Eliminando a necessidade de esperar os resultados de serviços de terceiros.
  • Reduzir o número de consultas feitas a esses serviços, o que ajuda a preservar as credenciais.

Basicamente, quando você executa o playbook novamente, qualquer etapa com resultados fixados é "ignorada": o código não é executado de novo, e os resultados fixados são usados como estão. Você também pode modificar esse resultado inserindo seus próprios dados simulados. Quando você ativa Fixar resultados, a ação entra no modo de simulação, e a representação visual da etapa geralmente muda de um plano de fundo azul para cinza, indicando claramente que o modo Simular está ativo para essa etapa.

Inserir resultados

A opção Inserir resultados fica disponível se uma etapa falhar. Com esse recurso, é possível inserir dados de simulação manualmente. Na próxima vez que você executar essa etapa específica, ela vai retornar os dados que você forneceu manualmente como resultado.

Depois de clicar nessa opção, a ação vai ativar automaticamente o modo Simular. A representação visual da etapa muda de um plano de fundo azul para cinza, indicando claramente que o modo Simular está ativo. O campo Resultado do script é obrigatório para todas as etapas no modo Simular.

Inserir dados simulados

Para inserir dados simulados, você tem alguns casos de uso a considerar:

  • Criar e testar seu playbook em qualquer lugar: você pode executar uma etapa, conferir os resultados e entender imediatamente como usar esses dados mais adiante no playbook.
  • Economizar tempo após uma execução bem-sucedida: talvez você queira fixar os resultados da etapa. Isso economiza tempo, evitando que a etapa seja executada repetidamente em APIs de terceiros durante testes subsequentes.
  • Testar diferentes cenários: você pode mudar os resultados da etapa para testar o playbook em várias condições. Ao definir dados de simulação diferentes, você pode influenciar as condições e ações subsequentes que dependem de resultados anteriores. Por exemplo, se o playbook tiver uma condição que se ramifica em dois ou mais caminhos, você poderá testar dados de simulação para "forçar" o playbook a seguir um ramal específico.

Inserir dados de simulação

É possível inserir dados de simulação (fictícios) no seu playbook de duas maneiras principais: na caixa de diálogo de configuração da etapa do playbook ou usando Fixar resultados (ou Inserir resultados) após a execução de um simulador.

Usar a caixa de diálogo de configuração da etapa do playbook

  1. Clique na caixa de diálogo de configuração da etapa no playbook.
  2. Ative o Modo de simulação. A representação visual da ação muda para cinza, indicando que ela está no modo de simulação.
  3. Na seção Resultados da ação, é possível inserir os dados de simulação (fictícios). Isso inclui:
    • Resultado do script: forneça um resultado simulado para ações baseadas em script.
    • Resultado JSON: insira dados JSON, possivelmente extraindo dados específicos do código JSON. Você também pode carregar um exemplo de saída clicando em Carregar exemplo. Isso carrega o resultado JSON esperado da ação, o que é útil principalmente se:
      • A simulação ainda não foi executada, e a saída está vazia.
      • A simulação falhou e nenhum resultado é mostrado.
      • Você quer substituir os resultados atuais (de fixação ou inserção anterior) pela amostra.
    • Enriquecimentos: você pode usar enriquecimentos de simulações anteriores ou criar suas próprias chaves de enriquecimento personalizadas.

Usar resultados após a execução de um simulador

Fixar resultados

Se uma etapa for executada com sucesso, clique em Fixar resultados ao lado dessa ação. O seguinte acontece depois:

  • A etapa é aberta automaticamente no modo Simular.
    • .
  • Os resultados da última simulação concluída são fixados na etapa. Você pode usar ou editar esses resultados.
  • É possível editar o resultado JSON usando o editor JSON ou clicar em Carregar amostra para substituir.
  • É possível usar os enriquecimentos de simulações anteriores ou criar chaves personalizadas.

Inserir resultados

Se uma etapa falhar, clique em Inserir resultados ao lado dessa ação. O seguinte acontece depois:

  1. Esses dados serão retornados sempre que a etapa for executada.

Desativar o simulador de playbooks

Quando você desativa o Simulador de playbooks, o console da parte de baixo é ocultado, e qualquer etapa no Modo de simulação volta ao modo "ativo" normal. A exceção são os blocos de playbook. Você precisa desativar o simulador de blocos para fechar o modo de simulação. Todos os dados de simulação (fictícios) inseridos são salvos para uso na próxima vez que você ativar o simulador.

Trabalhar com blocos de playbook

Você também pode usar o Simulador de playbook para criar e testar um novo bloco de playbook. Quando um bloco está no modo de simulação, todos os playbooks principais que usam esse bloco também usam os dados simulados dele.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.