Você pode modificar as condições do gatilho, adicionar ou remover ações e fazer outras mudanças no fluxo.

Esta imagem mostra as condições do gatilho e as etapas que o fluxo executa. O painel direito mostra o fluxo de dados. Clique em um ícone para expandir a etapa e exibir os detalhes.

Na primeira etapa, você define ou define o gatilho para o fluxo. Especifique as condições do gatilho e a frequência com que você deseja que o fluxo execute o gatilho.

Quando as condições definidas no fluxo (Categoria é Phishing e Origem é E-mail) são atendidas no registro do incidente, as tarefas no fluxo de phishing automatizado começam a ser executadas sequencialmente. Você pode modificar o gatilho, adicionar anotações, adicionar ou excluir condições e assim por diante.

Atualizar registro de incidente de segurança é a primeira etapa no fluxo. Clique no ícone de anotação para adicionar uma anotação ao analista de segurança indicando que ocorreu um incidente de phishing e que o fluxo automatizado do playbook de phishing começou a ser executado.

Nesta etapa, o fluxo cria uma tarefa de resposta automatizada para confirmar o recebimento para o remetente do incidente ou do usuário afetado.

Observe Tarefa primária [Incidente de segurança] o campo faz referência ao registro primário associado a esta etapa. Você pode escolher qualquer registro de referência usando o ícone do seletor de cápsula de dados ou arraste o item de referência relevante do painel direito. Observe o ícone de cadeado . O ícone de cadeado indica que a etapa não requer nenhuma intervenção do usuário.

Você pode especificar condições para verificar se o status do usuário afetado é Ativo e se o usuário pode receber notificações.

Observe o ícone de etapa condicional na etapa 3. O fluxo executa a próxima etapa (3,1) somente se as condições especificadas forem atendidas.

Quando as condições definidas na etapa 3 forem atendidas com sucesso, o e-mail será enviado.

Clique no ícone do designer de ação para ver uma exibição detalhada da ação.

Para exibir o. Designer de ações expanda uma etapa no fluxo e clique no ícone do designer de ação.

Esta tarefa captura o início do processo de obter a reputação de todos os observáveis e executar o aprimoramento com integrações configuradas.

• Executar pesquisas de ameaças para observáveis: Este subfluxo é usado para obter a reputação de todos os observáveis usando implementações de pesquisa de ameaças.
• Enriquecer observáveis: Este subfluxo é usado para realizar o aprimoramento de observáveis com implementações configuradas.

Observe os ícones desta tarefa. Ícone de operações paralelas indica que as tarefas serão realizadas em paralelo e o ícone de subfluxo indica que a tarefa que está sendo executada é um subfluxo, conforme mostrado abaixo:

Observe o número 5 no campo Observáveis. Isso indica que a pesquisa de ameaças será executada em observáveis recuperados na etapa 5. Este subfluxo, por sua vez, chama fluxos de trabalho e ações existentes, conforme mostrado em Designer de subfluxo .

Este subfluxo é usado para confirmar a presença de um indicador de ameaça no incidente. Se a ameaça for confirmada, um sinalizador "IOC detectado" será adicionado ao incidente.

Este subfluxo é usado para pesquisar usuários que receberam o e-mail de phishing usando implementações compatíveis.

Este subfluxo executa uma pesquisa de vistas usando a implementação configurada.

Este subfluxo é usado para bloquear observáveis mal-intencionados.

Este subfluxo é usado para excluir e-mails de phishing das caixas de correio do usuário.

Esta tarefa é usada para enviar um lembrete ao analista de segurança para salvar todas as ações de resposta do incidente para revisões futuras.