Para passar de uma fase para a próxima

Se nenhuma condição de execução for definida, as fases e atividades serão executadas sequencialmente.

Você pode usar a condição de execução para ignorar atividades ou fases. Neste exemplo, a fase Conter começa quando o resultado de "O e-mail tem indicadores de ameaça?" é Sim.

Para passar de uma fase para outra, você pode usar a definição de atividade fornecida pela plataforma - Atualizar registro. Isso atualizará o campo de estado do incidente de segurança e retomará a execução do playbook para a próxima fase.

No entanto, o desafio com esta definição de atividade é que, se dizer que o playbook está na fase de análise e se o usuário tiver atualizado manualmente o estado para dizer revisão, a atividade Atualizar registro mudará novamente o estado para Conter para continuar o playbook execução. Isso substituirá a mudança manual feita.

Para superar isso, no sistema de base, é fornecida uma definição de atividade chamada Atualizar estado da tarefa. Esta atividade não substituirá o estado do incidente de segurança se o estado atual do estado da segurança estiver à frente da fase no playbook.

Criar uma definição de processo com condição de gatilho fictícia

Uma definição de processo sempre requer uma condição de gatilho. Mas, se você não tiver certeza de quando o processo deve ser acionado, ainda poderá criar uma definição de processo com uma condição de gatilho fictícia. Defina a condição do gatilho como sys_id está vazio. Esta condição nunca será atendida.