Arvores de decisao
Arvores de decisao adicionam logica de ramificacao aos seus playbooks. Em vez de uma lista linear de steps, uma arvore de decisao permite que os responders sigam caminhos diferentes com base na situacao que enfrentam.
Por que arvores de decisao
Nem todo incidente segue o mesmo caminho. Uma queda de banco de dados pode requerer acoes diferentes dependendo se e causada por um problema de pool de conexoes, esgotamento de espaco em disco ou um problema de performance de queries. Arvores de decisao guiam os responders para o curso de acao correto sem que precisem descobrir a logica de ramificacao por conta propria.
Como funcionam
Uma arvore de decisao consiste em condicoes e ramos:
- Condicao -- uma pergunta ou verificacao que determina qual ramo seguir.
- Ramo -- o conjunto de steps a seguir se a condicao for atendida.
O banco de dados esta respondendo aos health checks?
|
+-- SIM --> A latencia de queries esta abaixo de 100ms?
| |
| +-- SIM --> O banco de dados esta saudavel. Monitore por 30 minutos.
| |
| +-- NAO --> Investigue queries lentas. Verifique transacoes de longa duracao.
|
+-- NAO --> O processo do banco de dados esta rodando?
|
+-- SIM --> Verifique as configuracoes do pool de conexoes. Reinicie o pool.
|
+-- NAO --> Reinicie o processo do banco de dados. Escale para a equipe de DBA.Criando uma arvore de decisao
- Abra seu playbook no editor.
- Adicione um bloco de Arvore de Decisao.
- Defina a condicao raiz (a primeira pergunta).
- Para cada resposta possivel, defina a proxima condicao ou um conjunto de steps de acao.
- Continue ramificando ate que cada caminho leve a uma resolucao ou um ponto de escalonamento.
Tipos de condicao
| Tipo de condicao | Descricao |
|---|---|
| Correspondencia de texto | Verifica se um valor e igual a uma string especifica |
| Limite numerico | Verifica se uma metrica esta acima ou abaixo de um limite |
| Verificacao de status | Verifica o status de um servico ou componente |
| Escolha manual | O responder seleciona a resposta com base na observacao |
Melhores praticas
- Mantenha as arvores de decisao o mais rasas possivel. Tres a quatro niveis de ramificacao geralmente sao suficientes.
- Sempre inclua um caminho de escalonamento para cenarios que a arvore nao cobre.
- Teste arvores de decisao durante incidentes simulados para identificar lacunas.
- Use condicoes claras e inequivocas. "O servico esta retornando erros 5xx?" e melhor do que "Esta algo errado?"
Exemplo: arvore de decisao para incidente de seguranca
Dados de clientes foram expostos?
|
+-- SIM --> Notifique a equipe juridica imediatamente.
| Inicie o plano de resposta a incidentes.
| Documente todas as descobertas.
|
+-- NAO --> O ataque foi bem-sucedido?
|
+-- SIM --> Corrija a vulnerabilidade.
| Revise logs de acesso para movimento lateral.
| Atualize regras de firewall.
|
+-- NAO --> Documente a tentativa.
Bloqueie o IP de origem.
Encerre o incidente.