Para passar de uma fase para a próxima fase

Se nenhuma condição de execução for definida, as fases e atividades serão executadas sequencialmente.

Você pode usar a condição de execução para ignorar atividades ou fases. Neste exemplo, A fase Conter começa quando o resultado de "O e-mail tem indicadores de ameaça?" Sim .

Para passar de uma fase para outra fase, você pode usar a plataforma fornecida Definição de atividade - Atualizar registro . Isso atualizará o campo de estado do incidente de segurança e retomará a execução do playbook para a próxima fase.

No entanto, o desafio com esta definição de atividade é que, se dissermos que o playbook está na fase Análise e se o usuário tiver atualizado manualmente o estado para dizer revisão, a atividade Atualizar registro mudará novamente o estado para Conter para continuar a execução do playbook. Isso substituirá a mudança manual feita.

Para superar isso, no sistema de base, uma definição de atividade chamada Atualizar estado da tarefa fornecido. Esta atividade não substituirá o estado do incidente de segurança se o estado atual do estado da segurança estiver à frente da fase no playbook.

Crie uma definição de processo com condição de gatilho fictícia

Uma definição de processo sempre requer uma condição de gatilho. Mas, se você não tiver certeza de quando o processo deve ser acionado, ainda poderá criar uma definição de processo com uma condição de gatilho fictícia. Defina a condição do gatilho como sys_id está vazio . Esta condição nunca será atendida.