Você pode modificar as condições do gatilho, adicionar ou remover ações e fazer outras mudanças no fluxo.

Esta imagem mostra as condições do gatilho e as etapas que o fluxo executa. O painel direito mostra o fluxo de dados. Clique em um ícone para expandir a etapa e exibir os detalhes.

Na primeira etapa, você define ou define o gatilho do fluxo. Especifique as condições do gatilho e com que frequência você deseja que o fluxo execute o gatilho.

Quando as condições definidas no fluxo (Categoria é Phishing e Origem é E-mail) são atendidas no registro do incidente, as tarefas no fluxo de phishing automatizado começam a ser executadas sequencialmente. Você pode modificar o gatilho, adicionar anotações, adicionar ou excluir condições e assim por diante.

Atualizar registro de incidente de segurança é a primeira etapa do fluxo. Clique no ícone de anotação para adicionar uma anotação ao analista de segurança indicando que ocorreu um incidente de phishing e que o fluxo do playbook de phishing automatizado começou a ser executado.

Nesta etapa, o fluxo cria uma tarefa de resposta automatizada para confirmar o recebimento ao remetente do incidente ou ao usuário afetado.

Observe que o campo Tarefa primária [Incidente de segurança]faz referência ao registro primário associado a esta etapa. Você pode escolher qualquer registro de referência usando o ícone do seletor de cápsula de dados ou arrastar o item de referência relevante do painel direito. Observe o ícone de cadeado cadeado . O ícone de cadeado indica que essa etapa não requer nenhuma intervenção do usuário.

Você pode especificar condições para verificar se o status do usuário afetado está ativo e se o usuário pode receber notificações.

Observe o ícone de etapa condicional na etapa 3. O fluxo executará a próxima etapa (3.1) somente se as condições especificadas forem atendidas.

Quando as condições definidas na etapa 3 forem atendidas com sucesso, o e-mail será enviado.

Clique no ícone do designer de ações para ter uma exibição detalhada da ação.

Para exibir a página do Designer de ações, expanda uma etapa no fluxo e clique no ícone do Designer de ações.

Esta tarefa captura o início do processo para obter a reputação de todos os observáveis e executar o enriquecimento com integrações configuradas.

• Executar pesquisas de ameaças para observáveis: este subfluxo é usado para obter a reputação de todos os observáveis usando implementações de pesquisa de ameaças.
• Aprimorar observáveis: este subfluxo é usado para realizar o enriquecimento de observáveis com implementações configuradas.

Observe os ícones para esta tarefa. O ícone de operações paralelas indica que ambas as tarefas serão executadas em paralelo e o ícone de subfluxo indica que a tarefa que está sendo executada é um subfluxo, conforme mostrado abaixo:

Observe o número 5 no campo de observáveis. Isso indica que a pesquisa de ameaças será executada em observáveis recuperados na etapa 5. Este subfluxo, por sua vez, chama fluxos de trabalho e ações existentes, conforme mostrado no Designer de subfluxo.

Este subfluxo é usado para confirmar a presença de um indicador de ameaça no incidente. Se a ameaça for confirmada, um sinalizador "IOC detectado" será adicionado ao incidente.

Este subfluxo é usado para pesquisar usuários que receberam o e-mail de phishing usando implementações compatíveis.

Este subfluxo executa uma pesquisa de detecções usando a implementação configurada.

Este subfluxo é usado para bloquear observáveis mal-intencionados.

Este subfluxo é usado para excluir e-mails de phishing das caixas de correio do usuário.

Esta tarefa é usada para enviar um lembrete ao analista de segurança para salvar todas as ações de resposta do incidente para revisões futuras.