Für den Wechsel von einer Phase zur nächsten

Wenn keine Ausführungsbedingung definiert ist, werden die Phasen und Aktivitäten sequenziell ausgeführt.

Sie können die Ausführungsbedingung verwenden, um Aktivitäten oder Phasen zu überspringen. In diesem Beispiel Phase „Eindämmen“ beginnt, wenn das Ergebnis von „enthält die E-Mail Bedrohungsindikatoren?“ vorliegt Ist ja .

Um von einer Phase in eine andere zu wechseln, können Sie die bereitgestellte Plattform verwenden Aktivitätsdefinition: Datensatz aktualisieren . Dadurch wird das Statusfeld des Security Incidents aktualisiert und die Playbook-Ausführung mit der nächsten Phase fortgesetzt.

Die Herausforderung bei dieser Aktivitätsdefinition besteht jedoch darin, dass, wenn sich das Playbook in der Analysephase befindet und der Anwender den Status manuell auf „Überprüfen“ aktualisiert hat, die Aktivität „Datensatz aktualisieren“ den Status erneut in „Eindämmen“ ändert, um die Ausführung des Playbooks fortzusetzen. Dadurch wird der manuelle Change überschrieben.

Um dies zu überwinden, wird im Basissystem eine Aktivitätsdefinition namens genannt Aufgabenstatus Aktualisieren Ist angegeben. Diese Aktivität überschreibt den Status des Security Incidents nicht, wenn der aktuelle Status des Sicherheitsstatus der Phase im Playbook voraus ist.

Erstellen Sie eine Prozessdefinition mit Dummy-Auslöserbedingung

Eine Prozessdefinition erfordert immer eine Auslöserbedingung. Wenn Sie sich jedoch nicht sicher sind, wann der Prozess ausgelöst werden soll, können Sie trotzdem eine Prozessdefinition mit einer Dummy-Auslöserbedingung erstellen. Legen Sie die Auslöserbedingung als fest sys_ID ist leer . Diese Bedingung wird nie erfüllt.