Zum Wechseln von einer Spur zur nächsten Spur

Wenn keine Ausführungsbedingung definiert ist, werden die Spuren und Aktivitäten nacheinander ausgeführt.

Sie können die Ausführungsbedingung verwenden, um Aktivitäten oder Spuren zu überspringen. In diesem Beispiel beginnt die Spur „Enthalten“, wenn das Ergebnis von „Verfügt die E-Mail über Bedrohungsindikatoren?“ ist Ja.

Um von einer Spur zu einer anderen zu wechseln, können Sie die von der Plattform bereitgestellte Aktivitätsdefinition „Datensatz aktualisieren“ verwenden. Dadurch wird das Statusfeld des Security Incident aktualisiert, und die Playbook-Ausführung wird in der nächsten Spur fortgesetzt.

Die Herausforderung bei dieser Aktivitätsdefinition besteht jedoch darin, dass, wenn sich das Playbook beispielsweise in der Analysespur befindet und der Benutzer den Status manuell auf „Überprüfung“ aktualisiert hat, die Aktivität „Datensatz aktualisieren“ den Status erneut in „Enthalten“ ändert, um das Playbook fortzusetzen Ausführung. Dadurch wird die vorgenommene manuelle Änderung überschrieben.

Um dies zu umgehen, wird im Basissystem eine Aktivitätsdefinition namens „ Aufgabenstatus aktualisieren“ bereitgestellt. Diese Aktivität überschreibt den Security Incident-Status nicht, wenn der aktuelle Sicherheitsstatus im Playbook vor der Spur liegt.

Erstellen Sie eine Prozessdefinition mit Dummy-Auslöserbedingung

Eine Prozessdefinition erfordert immer eine Auslöserbedingung. Wenn Sie jedoch nicht sicher sind, wann der Prozess ausgelöst werden soll, können Sie dennoch eine Prozessdefinition mit einer Dummy-Auslöserbedingung erstellen. Legen Sie die Auslösebedingung fest, da sys_id leer ist. Diese Bedingung wird niemals erfüllt.