Instanz im dynamischen Modus angeben

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie einen Instanznamen angeben, wenn Sie in einem Playbook-Schritt die Option Dynamischer Modus auswählen. Der dynamische Modus wird hauptsächlich verwendet, wenn ein Playbook für mehrere Umgebungen (oder alle Umgebungen) erstellt wird, damit die Instanz zur Laufzeit dynamisch aus der Zielumgebung ausgewählt wird. Das Feld „Instanzname angeben“ wird verwendet, wenn Sie zwei oder mehr Integrationsinstanzen für jede Umgebung definieren und das Playbook die richtige Instanz automatisch auswählen soll, ohne dass Sie anhalten und warten müssen, bis der Analyst sie manuell auswählt.

Instanzname dynamisch angeben

Wenn Sie ein Playbook für mehrere Umgebungen erstellen, wählen Sie Dynamischer Modus in Verbindung mit Instanznamen angeben aus. So können Sie dynamisch festlegen, welche Instanz für die einzelnen Aktionen verwendet werden soll. Dazu können Sie Freitext oder Platzhalter verwenden. Sie können entweder Platzhalter verwenden, mit denen Sie den Instanznamen als Muster definieren, oder Ablaufbedingungen, mit denen Sie die Bedingungen für die Verwendung der einzelnen Instanzen definieren. Sie können auch eine Standard-Fallback-Instanz angeben, die verwendet werden soll, wenn die benannte Instanz nicht gefunden werden kann.

Es gibt drei Hauptmethoden, um den im dynamischen Modus zu verwendenden Instanznamen anzugeben:

  • Platzhalter im Feld „Instanznamen angeben“ verwenden
  • Platzhalter für Entitäten im Feld „Instanzname angeben“ verwenden
  • Statischen Instanznamen und Schritt „Flow condition“ verwenden

Anwendungsfall: Platzhalter im Feld „Instanzname angeben“ verwenden

Wenn Ihre Instanznamen einem vorhersehbaren Muster folgen, können Sie mithilfe von Platzhaltern für Benachrichtigungen festlegen, welche Instanz verwendet werden soll. Im folgenden Beispiel wird der Platzhalter für Benachrichtigungen im Feld Instanzname angeben verwendet.

Unter der Active Directory-Integration sind zwei Instanzen definiert: ActiveDirectory_UK und ActiveDirectory_US. Die aufgenommene Benachrichtigung enthält ein Feld namens location. Wenn Sie dieses Feld verwenden möchten, verwenden Sie den Platzhalter [alert.location] im Feld Instanzname angeben.

Anwendungsfall: Platzhalter für Entitäten im Feld „Instanzname angeben“ verwenden

Wenn Sie Platzhalter für Entitäten im Feld Instanznamen angeben verwenden, müssen Sie die Aktion Siemplify Power Ups Tool Buffer verwenden, um die richtige Entität zurückzugeben. Durch diese Aktion wird der Platzhalter für die Entität so festgelegt, dass nur ein Ergebnis zurückgegeben wird. Die folgende Anleitung zeigt, wie Sie das Abrufen der richtigen Einheit einrichten:

  1. Wählen Sie in der Aktion Tools_Buffer > Liste Entities den gewünschten Bereich aus, z. B. Destination users (Zielnutzer).
  2. Fügen Sie im Feld Ergebniswert den Platzhalter [Entity.location] ein. Das Ergebnis dieser Aktion ist der Platzhalter [Entity.location], der nur für Zielnutzer gilt.
  3. Wählen Sie im nächsten Playbook-Schritt, z. B. VirusTotal_Enrich Hash, Dynamischer Modus aus und wählen Sie im Feld Instanzname angeben aus den Platzhalteroptionen VirusTotal_[Tools_Buffer_1.ScriptResult]aus.

Anwendungsfall: Statischen Instanznamen und Flow-Bedingung verwenden

Wenn die Namen Ihrer Instanzen kein vorhersehbares Muster aufweisen, können Sie im Schritt Bedingungen trotzdem eine Instanz basierend auf den Parametern Ihrer Benachrichtigung dynamisch auswählen. Im folgenden Beispiel wird gezeigt, wie Sie verschiedene bedingte Zweige einrichten, um die richtige Instanz zurückzugeben. Im Beispiel wird die Bedingung Alert Rule Generator verwendet und es wird davon ausgegangen, dass zwei Instanzen unter der E-Mail-Integration mit den Namen Email_1 und Email_2 eingerichtet wurden. Anhand des Bedingungsergebnisses wird das Playbook in verschiedenen Zweigen ausgeführt und die richtige Instanz ausgewählt. Wenn der Generator für Benachrichtigungsregeln also Cloud Email ist, wird das Playbook für den ersten Zweig ausgeführt, in dem die Instanz mit dem Namen Email_1 verwendet wird. So richten Sie die Funktion ein:

  • Geben Sie im Schritt „Ablaufbedingung“ die folgenden Informationen ein:
    • Wenn der Generator für Benachrichtigungsregeln Cloud Email detection ist:
      1. Gehe zu Zweig 1.
      2. Wählen Sie im ersten Schritt von Branch 1 die Option Dynamischer Modus> Instanzname angeben aus und geben Sie Email_1 ein.
      3. Klicken Sie auf Speichern.
    • Wenn der Generator für Benachrichtigungsregeln on-premises Email ist:
      1. Gehen Sie zu Zweig 2.
      2. Wählen Sie im ersten Schritt von Zweig 2 Dynamischer Modus> Instanzname angeben aus und geben Sie Email_2 ein.
      3. Klicken Sie auf Speichern.
        Bedingter Schritt, in dem gezeigt wird, wie der Instanzname eingerichtet wird

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten