第4课:使用决策步骤

需要根据工作流接收的数据构建一个可以运行不同步骤的工作流吗?使用决策步骤创建工作流将根据团队成员的决策或通过自动化执行的步骤的“路径”。本课程将帮助您了解如何将安全流程映射到多个路径,以及在自动化流程中需要人工干预时如何为团队提供手动控制。

添加人工决策步骤

要使用人工决策进行采样:

  1. 在工作流生成器中启动欢迎工作流。

如果在“草稿”页面中找不到欢迎工作流,请从工作流的活动版本创建新草稿,或检查“非活动工作流”页面。

此时,欢迎工作流应该有一个API触发器、一个Whois操作步骤和一个工件步骤。

  1. 欢迎神器
  2. 选择决定从显示的选项中,。
  3. 名字的步骤2019年更新?
  4. 选择人类选项卡下的“输入”部分。
  5. 对于第一个路径,输入2019年未更新用于路径名,并可以选择添加谁不是2019年的记录为了描述。
  6. 对于第二条路径,输入2019年更新用于路径名,并可以选择添加Whois记录在2019年更新为了描述。
  7. 点击持续.的欢迎神器现在应位于工作流的“Not Update 2019”路径下。
  8. 通过单击+签名
  9. 说出工件的名称2019年工件. 在“输出格式”字段中,粘贴
         

          

           
          

         

          

           

            1.

           {{[Welcome Trigger].[domain]}的Whois记录于2019年在{{[Whois Lookup].[last_updated]}上更新。

点击*预览添加工件退出配置面板。11.点击欢迎神器,然后单击出现的铅笔图标。12.将工件重命名为不是人工制品. 在“输出格式”字段中,粘贴

         

          

           
          

         

          

           

            1.

           {{[Welcome Trigger].[domain]}的Whois记录在2019年未更新。上次更新是在{{[Whois Lookup].[last_updated]}上。

点击*预览添加工件退出配置面板。

现在测试工作流:

  1. 点击测验,然后键入rapid7.com的输入。
  1. 而作业状态为等待,将在“作业详细信息”面板上显示一个决策面板。滚动Whois步骤输出,并在“上次更新”字段中找到日期。在决策面板中,单击相应的选项,在本例中为2019年更新
  2. 点击提交决定. 测试作业将继续处理。
  3. 当“作业状态”更改为“成功”时,请查看人工制品决定选项卡并观察卡中的内容。
  4. 点击X在右上角的测试“作业详情”面板,然后点击X在“测试工作流”面板中。
  5. 使用重新测试工作流rapid7.com,但选择2019年未更新当提示时。从Whois step输出中,我们知道“rapid7.com”实际上是在2019年更新的,但现在忽略这一点。在本课程的下一部分中,我们将向您展示如何自动执行此事实检查。
  6. 观察新测试作业详细信息中的内容,以及它与2019年更新选择
  7. (可选)激活工作流以确保保存更改。

将人工决策更改为自动决策

通过人工决策步骤,您测试了如何在工作流中合并人工输入。然而,在第二个测试中(在步骤18中),您可以选择一个不正确的选项。当您想要影响哪条路径取代另一条路径,但又不想引入人为错误时,您可以使用Automated Decision类型。

要使用自动决策进行采样,请执行以下操作:

  1. 在工作流构建器中打开欢迎工作流,并打开“Updated 2019?”“决策步骤。
  2. 点击自动化选项卡以更改决策步骤类型。
  3. 设置“默认路径”字段为2019年未更新. 当您的数据不符合为其他路径定义的条件时,InsightConnect将使用默认路径。
  4. 点击持续
  5. 现在配置决策路径。在本教程中,您只需配置“更新的2019”路径,因为在不满足“更新的2019”路径条件的情况下,将遵循“未更新的2019”默认路径。决策路径需要使用我们的查询语言的查询语句。单击蓝色按钮,在“更新的2019”字段中构建查询+签名选择Whois Lookup.last_已更新变量,然后键入包含“2019”输入变量后的字段。
  6. 点击持续
  7. 使用测试工作流rapid7.com再次,观察测试工作的工件和决策。你应该看看一件名为“2019神器”的神器。考虑再次使用其他工具测试工作流网站域,以查看自动决策是否采用另一条路径,并显示一个名为“非工件”的工件
  8. 关闭“测试作业详细信息”面板和“测试”面板,然后激活工作流以确保保存更改。

祝贺您创建了一个具有两条路径的决策步骤,并了解了人工决策和自动决策的配置之间的差异。

人工决策需要您的团队手动选择要走的道路。您可以在决策步骤之前创建工件步骤,为您的团队提供做出明智选择所需的数据。自动决策使用查询逻辑,这是在InsightConnect查询语言。这些逻辑语句告诉您的工作流采用哪条路径。在决定哪种决策类型更适合您的特定案例时,请考虑哪些决策类型有助于您的团队更好地开展工作。是否应暂停工作流,以便您的团队首先查看工作流数据?人类的决定会有所帮助。您是否确信在某些情况下,如本课中的示例中,应始终采用某些路径?使用自动化决策来指导数据流向和处理方式。

尽管这个例子有一些只显示工件的简单路径,但对于包含多个步骤的路径,决策是非常好的。例如,如果您需要对从可疑域或IP发送的电子邮件采取进一步的操作,如隔离收件箱或删除组织内从该IP发送的电子邮件,您可以使用灰色按钮+登录工作流生成器,在“采取行动”路径下为每个流程添加步骤。