Zum Wechseln von einer Phase zur nächsten Phase

Wenn keine Ausführungsbedingung definiert ist, werden die Phasen und Aktivitäten nacheinander ausgeführt.

Mit der Ausführungsbedingung können Sie Aktivitäten oder Phasen überspringen. In diesem Beispiel beginnt die Phase „Eindämmen“, wenn das Ergebnis von „Hat die E-Mail Bedrohungsindikatoren?“ angezeigt wird. ist Ja.

Um von einer Phase zu einer anderen zu wechseln, können Sie die von der Plattform bereitgestellte Aktivitätsdefinition „Update Record“ (Datensatz aktualisieren)verwenden. Dadurch wird das Statusfeld des Security Incidents aktualisiert und die Playbook-Ausführung wird mit der nächsten Phase fortgesetzt.

Die Herausforderung bei dieser Aktivitätsdefinition besteht jedoch darin, dass, wenn sich das Playbook in der Analysephase befindet und der Anwender den Status manuell auf „Überprüfung“ aktualisiert hat, die Aktivität „Datensatz aktualisieren“ den Status erneut in „Eindämmen“ ändert, um das Playbook fortzusetzen Ausführung. Dadurch wird die vorgenommene manuelle Änderung überschrieben.

Um dies zu beheben, wird im Basissystem eine Aktivitätsdefinition namens „Aufgabenstatus aktualisieren“ bereitgestellt. Diese Aktivität überschreibt den Status des Security Incidents nicht, wenn der aktuelle Sicherheitsstatus der Phase im Playbook vorausgeht.

Erstellen Sie eine Prozessdefinition mit einer Dummy-Auslöserbedingung

Eine Prozessdefinition erfordert immer eine Auslöserbedingung. Wenn Sie jedoch nicht sicher sind, wann der Prozess ausgelöst werden soll, können Sie trotzdem eine Prozessdefinition mit einer Dummy-Auslöserbedingung erstellen. Legen Sie die Auslöserbedingung fest, da „sys_id“ leer ist. Diese Bedingung wird niemals erfüllt.