Incidente de segurança - Avalie o fluxo de trabalho do resultado da tarefa de resposta
Incidente de segurança - Avaliar o fluxo de trabalho de resultado da tarefa de resposta determina a tarefa a ser usada, invoca um fluxo de trabalho escolhido e um script de avaliação com base no registro do avaliador de resultado fornecido como entrada para o fluxo de trabalho escolhido.
Antes de Iniciar
Função necessária: sn_si.write
Por Que e Quando Desempenhar Esta Tarefa
Este fluxo de trabalho deve ser executado ao mesmo tempo que a atividade Criar tarefa a ser avaliada. O script de avaliação consulta os artefatos (como registros de pesquisa de vistas ou processos em execução) da capacidade configurada usando informações de contexto da tarefa de resposta (como incidente de segurança primário) para determinar o resultado apropriado para a tarefa de resposta. O resultado pode ser dependente da atividade do fluxo de trabalho, mas geralmente é sim ou não . Ao criar um avaliador de resultados, registre somente recursos que tenham um fluxo de trabalho configurado, com É uma capacidade baseada em tarefa e um conjunto de variáveis de entrada de tarefa está disponível para seleção.
- Execute o script para determinar a tarefa de resposta
- Fluxo de trabalho deve ser executado
- Fluxo de trabalho de capacidade de lançamento do inicializador de fluxo paralelo
- Criar evento de avaliação