Aufgaben mit Playbook-Schleifen automatisieren

Unterstützt in:

Die Funktion Playbook-Schleifen konzentriert sich auf For-Each-Schleifen, um Listen zu durchlaufen und eine Reihe von Aktionen einmal für jedes Element auszuführen.

Mit Playbook-Schleifen können Sie mehrere Elemente wie z. B. Entitäten effizient verarbeiten, indem Sie eine einzelne Aktion oder eine Reihe von Aktionen mehrmals ausführen. Dadurch müssen Sie Aktionen nicht mehr anpassen oder manuell duplizieren, wenn Sie sich wiederholende Schritte für mehrere Einheiten oder andere Datentypen ausführen müssen. Sie können Workflows auch optimieren, indem Sie Blöcke in Schleifen einfügen oder Schleifen in Blöcke einbetten.

Unterstützte Schleifentypen

Playbook-Schleifen unterstützen die Iteration über die folgenden Datentypen:

  • Entitäten: Sie können eine Liste von Entitäten in einer Benachrichtigung durchlaufen.
  • Listen: Sie können eine benutzerdefinierte Liste von Elementen oder eine dynamisch aufgelöste Liste mit einem Platzhalter durchlaufen.

Schleifen strukturieren

Eine Playbook-Schleife besteht aus einem Loop Start-Schritt und einem entsprechenden Loop End-Schritt. Die Aktionen, die Sie für jedes Element in der Liste wiederholen möchten, werden zwischen diesen beiden Schritten platziert.

Loop-Start

Der Schritt Loop Start (Schleifenstart) markiert den Beginn der Schleife und enthält ihre Konfiguration.

  • Im Schritt Schleifenstart können Sie Ihrer Schleife einen Namen zuweisen. Dieser Name wird sowohl im Schritt Schleifenstart als auch im Schritt Schleifenende angezeigt.
  • In diesem Schritt wird der Parameter Loop Over (Entities oder List) definiert und die spezifischen Einstellungen für den ausgewählten Typ werden konfiguriert.
  • In diesem Schritt können Sie das Verhalten der Schleife konfigurieren, wenn sie ihr Iterationslimit (derzeit auf 100 Iterationen begrenzt) erreicht oder ein Problem auftritt.
  • Wenn der Loop erfolgreich gestartet wurde, wird ein Häkchen angezeigt.

Schleifenende

Der Schritt Schleifenende markiert den Endpunkt der Schleife.

  • Der Schritt Schleifenende kann nicht direkt bearbeitet werden. Seine Konfiguration ist an den Schritt Schleifenstart gebunden.
  • Wenn die Schleife alle Iterationen erfolgreich durchlaufen hat, gibt der Schritt Schleifenende den Status „Erfolgreich“ (angezeigt durch ein Häkchen) zurück. Das JSON-Ergebnis enthält die Anzahl der ausgeführten Iterationen.
  • Wenn die Schleife vor der Verarbeitung aller Elemente beendet wird (weil das maximale Iterationslimit erreicht wurde), enthält das JSON-Ergebnis eine Liste der übersprungenen Elemente.

Aktionen innerhalb der Schleife definieren

Aktionen zwischen den Schritten Schleifenstart und Schleifenende werden wiederholt ausgeführt. Sie können jede Standard-Playbook-Aktion in diesen Bereich ziehen, einschließlich bedingter Aktionen und Blöcke.

Schleifen, die Entitäten durchlaufen

Wenn eine Schleife standardmäßig Entitäten durchläuft, werden Aktionen in dieser Schleife in jeder Iteration nur auf die aktuelle Entität angewendet. Die Aktion verarbeitet eine Entität nach der anderen, während die Schleife durchlaufen wird.

Bei Aktionen, die sich auf Entitäten beziehen (z. B. VirusTotal – Hash anreichern), wird die Aktion automatisch auf die aktuelle Entität in der Schleife beschränkt. Entitätsplatzhalter, die in der Schleife verwendet werden, verweisen ebenfalls nur auf die aktuelle Schleifenentität.

Zur Veranschaulichung betrachten wir den folgenden Anwendungsfall: Hashes scannen und Tickets für schädliche Hashes erstellen.

Erweiterte Schleifen, die Entitäten durchlaufen

In einigen Anwendungsfällen müssen Sie möglicherweise sowohl auf die Informationen der aktuell durchlaufenen Entität als auch auf andere Benachrichtigungsentitäten zugreifen. Deaktivieren Sie dazu für die entsprechende Schleifenaktion die Ein/Aus-Schaltfläche Bereich auf Iteration beschränken.

  • Wenn der Schalter aktiviert ist, sind Entitätsdaten und Platzhalter nur auf die aktuelle Schleifenentität beschränkt.
  • Wenn der Schalter deaktiviert ist, kann auf alle Benachrichtigungsentitäten zugegriffen werden, basierend auf der Konfiguration im Menü Entitäten.
    • Verwenden Sie Entity-Platzhalter, um auf entitätsweite Daten für Benachrichtigungen zuzugreifen.
    • Verwenden Sie Loop.Entity, um nur auf die aktuelle Schleifenentität zu verweisen.

Zur Veranschaulichung sehen Sie sich diesen Anwendungsfall an: Prioritätstickets für schädliche Dateien basierend auf der Stellenbezeichnung des Nutzers erstellen.

Schleifen, die Listen durchlaufen

In einer Schleife kann eine Reihe von Aktionen für jedes Element in einer definierten Liste ausgeführt werden. Dabei haben Sie folgende Möglichkeiten:

  • Sie können die Liste direkt definieren oder einen Platzhalter verwenden, der in eine Liste aufgelöst wird.
  • Passen Sie das Trennzeichen nach Bedarf an, z. B. durch ein Komma oder einen Schrägstrich.
  • Verweisen Sie mit dem Platzhalter Loop.item auf das iterierte Element.

Zur Veranschaulichung sehen Sie sich diesen Anwendungsfall an: Nutzer über preisgegebene Passwörter benachrichtigen.

Mit Blöcken in Schleifen arbeiten

Sie können Playbook-Blöcke direkt in eine Schleife einfügen. Wenn ein Block in eine Schleife gezogen wird, werden seine Aktionen einmal für jedes Element oder jede Entität ausgeführt, die von der Schleife verarbeitet wird.

Wenn die Schleife über Entitäten iteriert wird, enthält der Block die Ein/Aus-Schaltfläche Bereich auf Iteration beschränken. Mit dieser Ein/Aus-Schaltfläche wird gesteuert, wie die Aktionen innerhalb der Einheit „Zugriff auf Entitätsdaten blockieren“ auf Entitätsdaten zugreifen:

  • Aktiviert:Alle Schritte innerhalb des Blocks sind auf die aktuelle Einheit in der jeweiligen Schleifeniteration beschränkt. So wird sichergestellt, dass alle Platzhalter und Aktionen für Entitäten im Block nur für die relevanten Daten für diese Iteration ausgeführt werden.
  • Deaktiviert:Schritte innerhalb des Blocks haben Zugriff auf alle Benachrichtigungsentitäten. Der Block empfängt alle Entitäten aus der Benachrichtigung, nicht nur die, die von der übergeordneten Schleife verarbeitet werden. In diesem Fall werden im Menü loop.entity-Platzhalter angezeigt, mit denen nur auf die iterierte Einheit zugegriffen werden kann.

Mit Schleifen in Blöcken arbeiten

Sie können Schleifen in Playbook-Blöcke einfügen, um wiederkehrende Aufgaben als Teil der Blocklogik auszuführen. So können Sie Elemente oder Entitäten in einem eingeschränkten Abschnitt des Playbooks durchlaufen.

Das Konfigurieren einer Schleife in einem Block erfolgt auf dieselbe Weise wie das Einrichten einer anderen Schleife in einem Playbook.

Weitere Informationen finden Sie unter Playbook-Schleifenaktionen konfigurieren.

Playbook-Schleifenaktionen konfigurieren

So konfigurieren Sie Playbook-Schleifenaktionen:

  1. Klicken Sie im Menü Navigation auf Antwort > Playbooks.
  2. Öffnen Sie das Playbook, das Sie bearbeiten möchten, oder erstellen Sie ein neues.
  3. Klicken Sie auf + Schrittauswahl öffnen.
  4. Klicken Sie auf den Tab Loops.
  5. Ziehen Sie die Aktion Für jede Schleife auf die Playbook-Arbeitsfläche. Dadurch werden automatisch die Schritte Schleifenstart und Schleifenende mit einem dafür vorgesehenen Bereich zum Hinzufügen von Aktionen dazwischen erstellt.
  6. Konfigurieren Sie den Schleifenstart:
    1. Klicken Sie auf den Schritt Schleifenstart, um die Seitenleiste For Each-Schleife zu öffnen.
      1. Wählen Sie auf dem Tab Parameter aus, was wiederholt werden soll (Entitäten oder Liste).
        • Entitäten:Wählen Sie den Entitätsbereich aus (Alle Entitäten, Verdächtige Entitäten oder benutzerdefinierter Bereich).
        • Liste:Geben Sie im Feld Elemente Ihre Liste mit Elementen ein, entweder manuell oder mit einem Platzhalter. Definieren Sie das Trennzeichen (z. B. Komma oder Schrägstrich), um Elemente zu trennen.
      2. Konfigurieren Sie auf dem Tab Einstellungen das Verhalten des Loops:
        • Aktionstyp:Wählen Sie zwischen Automatisch (wird sofort gestartet) und Manuell (erfordert eine Nutzeraktion).
        • Wenn der Schritt fehlschlägt oder die maximale Anzahl von Iterationen überschritten wird:Wählen Sie aus, ob die Schleife die verbleibenden Elemente überspringen und fortfahren oder das Playbook beenden soll.
  7. Fügen Sie Aktionen vor oder nach der Schleife hinzu, um Daten vorzubereiten oder die Ergebnisse der Schleife zu verarbeiten.

Beschränkungen

Genehmigungslinks werden in Playbook-Schleifen nicht unterstützt.

Mit Ansichten und Playbook-Schleifen arbeiten

In diesem Abschnitt wird erläutert, wie in Ansichten Informationen aus Playbook-Schleifen in benutzerdefinierten und vordefinierten Widgets dargestellt werden. Außerdem werden wichtige Aspekte der Visualisierung von Daten aus generierten Schleifen behandelt.

Benutzerdefinierte Widgets

Sie können zwar nicht direkt auf Platzhalter aus internen Schleifenschritten verweisen, aber Ergebnisse während der Schleifenausführung zusammenfassen und im Widget anzeigen. Wenn Sie aggregierte Ergebnisse in einem benutzerdefinierten Widget anzeigen möchten, verwenden Sie Kontextwerte in der Schleife, z. B. die Aktion Append to Context Value (An Kontextwert anhängen) aus dem Power-up Tools (Tools).

Vordefinierte Widgets

Google stellt vorgefertigte Widgets zur Verfügung, die sich nahtlos in unterstützte Aktionen im Playbook-Designer einfügen lassen. Wenn Sie eine unterstützte Aktion in den Playbook-Designer ziehen, schlägt das System relevante vordefinierte Widgets vor. Diese Widgets sind direkt mit der Aktion verbunden, auch wenn sie in einer Schleife verwendet werden.

Schleifen im Playbook-Simulator

Der Playbook-Simulator bietet eine detaillierte Visualisierung für Playbooks mit Schleifen und Blöcken. Außerdem werden verschachtelte Strukturen unterstützt, z. B. Schleifen, die in Blöcken verschachtelt sind, und Blöcke, die in Schleifen verschachtelt sind. Im Simulator-Viewer werden die Schritte von oben nach unten angezeigt (die ältesten oben, die neuesten unten). Die Ansicht wird automatisch gescrollt, um die letzte Aktivität zu zeigen.

Weitere Informationen finden Sie unter Mit dem Playbook-Simulator arbeiten.

Anfrageübersicht

Wenn ein Playbook mit einer Schleife ausgeführt wird, finden Sie Informationen zum Fortschritt und zu den Ergebnissen der einzelnen Iterationen in verschiedenen Bereichen der Seite Vorgänge.

In den folgenden Abschnitten wird beschrieben, wie in Widgets, der Playbook-Ansicht und der Fallübersicht Informationen zu diesen Schleifen dargestellt werden.

Widgets

Die integrierten Widgets in der Fallübersicht basieren auf den entsprechenden Aktionen. Wenn die Aktion in einer Schleife ausgeführt wird, wird das Widget dynamisch aktualisiert, um die Ergebnisse der letzten Schleifeniteration anzuzeigen.

Playbook-Betrachter

Wenn Sie ein Playbook mit einer Schleife ausführen, können Sie den Fortschritt und die Ergebnisse jeder Iteration in der Playbook-Ansicht verfolgen. Wählen Sie dazu die entsprechende Benachrichtigung in der Anfrage aus und klicken Sie auf den Tab Playbooks.

Im Playbook-Viewer werden Schleifen und Blöcke in einer hierarchischen Struktur angezeigt. So können Sie den Ablauf verschachtelter Prozesse visualisieren und den Kontext der einzelnen Schritte besser nachvollziehen.

In der Playbook-Ansicht haben Sie folgende Möglichkeiten:

  • Sehen Sie sich jede Iteration an, da die Schleifenschritte gruppiert werden.
  • Sie können zwischen den Iterationen wechseln, um sich die einzelnen Ergebnisse anzusehen.
  • Wählen Sie einen Schritt in einer Schleife aus, um eine Iterationsnummer in der Seitenleiste anzeigen zu lassen.
  • Klicken Sie auf Ergebnisse ansehen, um den Namen des Loops und die Iterationsnummer aufzurufen.

Fall-Repository

Jedes Ergebnis aus den Schleifeniterationen wird auf der Case Wall zusammen mit einer Schleifenangabe wie der Iterationsnummer angezeigt. So lassen sich die in den einzelnen Iterationen ergriffenen Maßnahmen nachvollziehen und unterscheiden.

Anwendungsbeispiele

In diesem Abschnitt finden Sie praktische Beispiele dafür, wie Playbook-Schleifen verwendet werden können, um verschiedene Arten von Workflows zu automatisieren.

Hashes scannen und Tickets für schädliche Hashes erstellen

Führen Sie in diesem Anwendungsfall die folgenden Schritte aus:

  1. Scannen Sie die Hashes aller Dateien in der Benachrichtigung mit VirusTotal.
  2. Für jede als schädlich erkannte Datei wird automatisch ein eindeutiges Ticket erstellt.

So erstellen Sie ein Playbook:

So erstellen Sie ein Playbook:

  1. Ziehen Sie die Aktion VirusTotal – Hash anreichern auf den Playbook-Arbeitsbereich und konfigurieren Sie sie, bevor Sie die Schleife hinzufügen.
  2. Ziehen Sie das Element Für jede Schleife auf die Arbeitsfläche.
  3. Klicken Sie auf Loop Start (Schleifenstart).
    1. Wählen Sie auf dem Tab Parameter die Option Entitäten als Typ für Wiederholen für aus.
    2. Wählen Sie im Menü Entitäten die Option Alle als verdächtig markierten Entitäten aus. Mit diesem Schritt wird sichergestellt, dass die Schleifenausführung nur auf die Entitäten beschränkt ist, die im vorherigen Schritt von der Aktion VirusTotal – Hash anreichern als verdächtig markiert wurden.
  4. Ziehen Sie die Aktion Create Ticket (Ticket erstellen) in die Schleife. Der genaue Name und die Konfiguration dieser Aktion variieren je nach verwendetem Ticketsystem.
  5. In der Konfiguration der Aktion Ticket erstellen:
    1. Geben Sie einen Titel für das Ticket ein, z. B. Malicious File Detected.
    2. Verwenden Sie im Feld Beschreibung das Platzhaltermenü, um Details zur aktuellen Entität in der Schleife einzufügen, z. B. Entity.Identifier oder Entity.Type. Fügen Sie alle relevanten Informationen aus der VirusTotal-Anreicherung ein, die jetzt mit der verdächtigen Entität verknüpft sind.

Für jeden Dateihash, der von VirusTotal als schädlich eingestuft wurde, wird ein eindeutiges Ticket mit den relevanten Details erstellt.

Prioritätstickets für schädliche Dateien basierend auf der Berufsbezeichnung des Nutzers erstellen

In diesem Anwendungsfall wird nach der Identifizierung schädlicher Dateien (wie im vorherigen Anwendungsfall) ein neues Ticket mit unterschiedlichen Prioritäten erstellt, je nachdem, ob der interne Nutzer, der mit der Datei verknüpft ist, einen Jobtitel mit „CEO“ hat.

Bevor Sie beginnen, müssen Sie die ersten Schritte aus dem vorherigen Anwendungsfall ausgeführt haben:

  • Eine VirusTotal – Enrich Hash-Aktion vor der Schleife, die auf alle Dateihash-Entitäten ausgerichtet ist.
  • Eine For Each Loop-Aktion, die Entitäten mit dem Bereich Alle als verdächtig markierten Entitäten durchläuft.

So erstellen Sie Prioritätstickets für schädliche Dateien:

  1. Fügen Sie eine bedingte Aktion in die Schleife ein.
    1. Deaktivieren Sie die Ein/Aus-Schaltfläche Bereich auf Iteration beschränken, um neben der Schleifenentität auch auf andere Benachrichtigungsentitäten zuzugreifen.
    2. Wählen Sie im Menü Entities (Entitäten) die Option Internal Users (Interne Nutzer) aus.
    3. Konfigurieren Sie die Bedingung, um zu prüfen, ob Entity.job CEO enthält. Mit dieser Aktion wird die Priorität auf CRITICAL festgelegt.
    4. Verwenden Sie den ELSE-Zweig, um ein Szenario zu verarbeiten, in dem CEO nicht beteiligt ist. In diesem Fall wird die Priorität auf HIGH festgelegt.
  2. Ziehen Sie die Aktion Ticket erstellen in den ersten Zweig:
    1. Erstellen Sie den Titel, z. B. CRITICAL: Malicious File Detected - Potential CEO Impact.
    2. Konfigurieren Sie die Priorität des Vorfalls auf CRITICAL.
    3. Geben Sie im Feld Beschreibung relevante Details zum Nutzer und Informationen aus der VirusTotal-Anreicherung an.
  3. Ziehen Sie eine weitere Create Ticket-Aktion in den ELSE-Zweig:
    1. Erstellen Sie den Titel, z. B. Attention: Malicious File Detected.
    2. Konfigurieren Sie die Priorität des Vorfalls auf HOCH.
    3. Geben Sie im Feld Beschreibung relevante Details zum Nutzer und Informationen aus der VirusTotal-Anreicherung an.

Für jede schädliche Datei wird im Playbook die Berufsbezeichnung des zugehörigen internen Nutzers geprüft. Wenn der Titel CEO enthält, wird ein Ticket mit der Priorität CRITICAL erstellt. Andernfalls wird ein Ticket mit der Priorität HIGH erstellt.

Nutzer über geleakte Passwörter benachrichtigen

Eine Lösung zur Erkennung von Datenlecks bietet eine Liste von Nutzernamen (E‑Mail-Adressen), deren Passwörter bei einem kürzlich erfolgten Datenleck kompromittiert wurden. Sie möchten eine personalisierte E‑Mail-Benachrichtigung an jeden betroffenen Nutzer senden, anstatt eine einzelne E‑Mail an alle Nutzer. Die Liste der betroffenen Nutzer ist im Feld alert.affected_users verfügbar.

So erstellen Sie ein Playbook:

  1. Ziehen Sie eine For Each-Schleifenaktion auf den Playbook-Arbeitsbereich.
  2. Klicken Sie auf den Schritt Schleifenstart.
    1. Wählen Sie auf dem Tab Parameter als Typ Wiederholen für die Option Liste aus.
    2. Verwenden Sie im Feld Items den Platzhalter alert.affected_users.
  3. Wenn in der Liste in alert.affected_users ein anderes Trennzeichen als ein Komma verwendet wird, aktualisieren Sie dieses Trennzeichen im Feld Trennzeichen.
  4. Ziehen Sie die Aktion E-Mail – E-Mail senden in die Schleife.
  5. In der Konfiguration der Aktion E-Mail – E-Mail senden:
    1. Verwenden Sie im Feld Empfänger den Platzhalter Loop.Item. Wenn die Listenschleife die Liste alert.affected_users durchläuft, steht der Platzhalter Loop.Item für die aktuelle E-Mail-Adresse, die verarbeitet wird. So erhält jeder Nutzer eine eindeutige E-Mail.
    2. Konfigurieren Sie den Betreff und den Inhalt der E-Mail, um den Nutzer über das kompromittierte Passwort zu informieren.

Jeder Nutzer (jede E-Mail-Adresse) in der Liste alert.affected_users erhält eine personalisierte E-Mail-Benachrichtigung über sein kompromittiertes Passwort.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten