Specifica un'istanza in modalità dinamica

Supportato in:

Questo documento spiega come specificare un nome istanza quando selezioni l'opzione modalità dinamica in un passaggio del playbook. La modalità dinamica viene utilizzata principalmente quando si crea un playbook per più ambienti (o tutti gli ambienti) in modo che il playbook selezioni dinamicamente l'istanza dall'ambiente di destinazione al runtime. Il campo Specifica nome istanza viene utilizzato quando definisci due o più istanze di integrazione per ogni ambiente e vuoi che il playbook selezioni quella corretta automaticamente, senza dover interrompere e attendere che l'analista scelga manualmente.

Specificare dinamicamente un nome dell'istanza

Quando crei un playbook per più ambienti, seleziona Modalità dinamica insieme a Specifica nome istanza in modo da poter definire dinamicamente quale istanza utilizzare per ogni azione utilizzando testo libero o segnaposto. Puoi utilizzare i segnaposto, che ti consentono di definire il nome dell'istanza con un pattern, oppure le condizioni del flusso, che ti consentono di definire le condizioni di quando utilizzare ciascuna istanza. Puoi anche specificare un'istanza di riserva predefinita da utilizzare se non è possibile trovare l'istanza denominata.

Esistono tre modi principali per specificare il nome dell'istanza da utilizzare nella modalità dinamica:

  • Utilizzare i segnaposto nel campo Specifica il nome dell'istanza
  • Utilizzare i segnaposto delle entità nel campo Specifica il nome dell'istanza
  • Utilizzare il nome dell'istanza statica e il passaggio Condizione del flusso

Caso d'uso: utilizza i segnaposto nel campo Specifica il nome dell'istanza

Se i nomi delle istanze seguono un pattern prevedibile, puoi utilizzare i segnaposto degli avvisi per definire l'istanza da utilizzare. L'esempio seguente utilizza il segnaposto dell'avviso nel campo Specifica nome istanza.

Due istanze sono definite nell'integrazione di Active Directory: ActiveDirectory_UK e ActiveDirectory_US. L'avviso importato contiene un campo denominato location. Per utilizzare questo campo, utilizza il segnaposto [alert.location] nel campo Specifica nome istanza.

Caso d'uso: utilizza i segnaposto delle entità nel campo Specifica il nome dell'istanza

Per restituire l'entità corretta quando utilizzi i segnaposto delle entità nel campo Specifica nome istanza, devi utilizzare l'azione Siemplify Power Ups Tool Buffer. Questa azione limita il segnaposto dell'entità per garantire che venga restituito un solo risultato. La seguente procedura mostra come configurare il recupero dell'entità corretta:

  1. Nell'azione Tools_Buffer > Entità, seleziona l'ambito che vuoi utilizzare (ad esempio, Utenti di destinazione).
  2. Nel campo Valore risultato, inserisci il segnaposto [Entity.location]. Il risultato di questa azione sarà il segnaposto [Entity.location] con ambito limitato agli utenti di destinazione.
  3. Nel passaggio successivo del playbook, ad esempio VirusTotal_Enrich Hash, seleziona Modalità dinamica e nel campo Specifica nome istanza, seleziona VirusTotal_[Tools_Buffer_1.ScriptResult] dalle opzioni segnaposto.

Caso d'uso: utilizzare il nome dell'istanza statica e la condizione di flusso

Se i nomi delle istanze non seguono un pattern prevedibile, puoi comunque selezionare dinamicamente un'istanza in base ai parametri dell'avviso utilizzando il passaggio Condizioni. Il seguente esempio mostra come configurare diversi rami condizionali per restituire l'istanza corretta da utilizzare. L'esempio utilizza la condizione Generatore di regole di avviso e si basa su due istanze configurate nell'integrazione email denominata Email_1 e Email_2. In base al risultato della condizione, il playbook verrà eseguito su rami diversi e quindi verrà scelta l'istanza corretta. Pertanto, se il generatore di regole di avviso è uguale a Cloud Email, il playbook verrà eseguito nel primo ramo che utilizza l'istanza denominata Email_1. Per configurare questa funzionalità:

  • Nel passaggio della condizione del flusso, inserisci le seguenti informazioni:
    • Se il generatore di regole di avviso è uguale a Cloud Email detection:
      1. Vai alla filiale 1.
      2. Nel passaggio iniziale del ramo 1, seleziona Modalità dinamica > Specifica nome istanza e inserisci Email_1.
      3. Fai clic su Salva.
    • Se il generatore di regole di avviso è uguale a on-premises Email:
      1. Vai al ramo 2.
      2. Nel primo passaggio del ramo 2, seleziona Modalità dinamica > Specifica nome istanza e inserisci Email_2.
      3. Fai clic su Salva.
        Passaggio condizionale che mostra come impostare il nome dell'istanza

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.