Создание плейбуков

Вы можете создать плейбук для автоматизации анализа угроз и реагирования на них.

Чтобы создать плейбук, вам должна быть присвоена одна из следующих ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.

Open Single Management Platform также позволяет создать плейбук, соответствующий вашим потребностям, на основе существующего. Подробную информацию см. в разделе Настройка плейбуков:

Чтобы создать плейбук:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчетыПлейбуки.
  2. Нажмите на кнопку Создать плейбук.

    Откроется окно Создать плейбук.

  3. В поле Тенант выберите родительский тенант и дочерние тенанты, для которых нужно запустить плейбук.

    Все дочерние тенанты выбранного родительского тенанта автоматически унаследуют этот плейбук. Чтобы выключить наследование плейбука, снимите флажок рядом с дочерними тенантами. Наследование плейбука будет выключено для всех дочерних тенантов.

    Если вы выберете дочерний тенант, все родительские тенанты будут выбраны автоматически.

  4. В поле Название введите название плейбука.

    Обратите внимание, что название плейбука должно быть уникальным и не может быть длиннее 255 символов.

    Название плейбука не должно содержать следующие специальные символы: <> ".

  5. При необходимости в поле Теги укажите до 30 тегов. Вы можете фильтровать плейбуки, используя назначенные теги.

    Максимальная длина тега составляет 50 символов.

  6. При необходимости в поле Описание введите описание плейбука или комментарий.
  7. В списке Область действия выберите следующие параметры:
    • Алерт. Плейбук будет запускаться только для алертов.
    • Инцидент. Плейбук будет запускаться только для инцидентов.
  8. В списке Режим работы выберите следующие параметры:
    • Автоматический. Плейбук в этом режиме работы автоматически запускается при обнаружении соответствующих алертов или инцидентов.
    • Обучение. Плейбук в этом режиме работы запрашивает разрешение пользователя на запуск при обнаружении соответствующих алертов или инцидентов.
    • Ручной. Плейбук в этом режиме работы можно запустить только вручную.
  9. В списке Правила запусков выберите действие, которое будет выполняться, если два или более экземпляра плейбука запускаются одновременно:
    • Добавить экземпляры плейбука в очередь. Новый экземпляр плейбука будет запущен после завершения текущего. По умолчанию выбрано это действие.
    • Завершить текущее выполнение и запустить новый экземпляр. Выполнение текущего экземпляра плейбука будет прекращено. После этого запускается новый экземпляр плейбука.
    • Не запускать новые экземпляры плейбука. Новый экземпляр плейбука не будет запущен. Выполнение текущего экземпляра плейбука будет продолжено.

    Список правил запуска отображается только в том случае, если выбран режим работы Автоматический.

  10. В разделе Триггер укажите условие для автоматического запуска плейбука.

    Чтобы описать условие срабатывания триггера, используйте выражения jq. Для получения дополнительной информации о выражениях jq см. Руководство по jq.

    В зависимости от того, какой параметр вы выбрали в списке Область действия при создании или изменении плейбука, используется модель данных алерта или модель данных инцидента.

    Например, чтобы отфильтровать алерты или инциденты по уровню важности, укажите следующее выражение:

    .Severity == "critical"

    Вы также можете указать сложные выражения для фильтрации алертов или инцидентов.

    Например, чтобы отфильтровать критические алерты или инциденты по имени правила, укажите следующее выражение:

    [(.Severity == "critical") and (.Rules[] |.Name | contains("Rule_1"))]

    где Rules [] | .Name это имя сработавшего правила.

    Проверка выражений jq настроена. Если вы укажете неверное выражение в разделе Триггер, ошибка будет отмечена красным цветом. Если вы хотите просмотреть подробную информацию, наведите курсор мыши на ошибку.

    Если вы выберете режим работы Ручной, раздел Триггер будет недоступен.

  11. Чтобы просмотреть алерты или инциденты, соответствующие плейбуку триггера, в разделе Сопоставление триггеров нажмите на кнопку Найти.

    Также можно запросить полный список алертов или инцидентов. Для этого в разделе Триггер введите true и нажмите на кнопку Найти.

    Отобразится полный список алертов или инцидентов.

  12. В разделе Алгоритм укажите последовательность действий по реагированию на алерты или инциденты в формате JSON. Подробнее см. в разделе Алгоритм плейбука.

    При необходимости можно скопировать алгоритм из другого плейбука. Для этого выполните следующие:

    1. Нажмите на кнопку Скопировать из другого плейбука.

      Откроется окно Скопировать из другого плейбука.

    2. В списке плейбуков выберите плейбук для копирования алгоритма и нажмите на кнопку Добавить.

      Алгоритм выбранного плейбука добавлен в раздел Алгоритм.

    Проверка выражений jq и синтаксиса JSON настроена. Если вы укажете неверное выражение в разделе Алгоритм, ошибка будет отмечена красным цветом. Если вы хотите просмотреть подробную информацию, наведите курсор мыши на ошибку.

  13. По умолчанию плейбук запускается только для новых алертов или инцидентов, соответствующих триггеру.

    Если вы хотите запустить новый плейбук для существующих алертов или инцидентов, соответствующих триггеру, установите флажок Запустите плейбук для всех совпадающих алертов или инцидентов. Обратите внимание, что система может быть перегружена.

  14. Нажмите на кнопку Создать.

Плейбук создан и отображается в списке плейбуков.

В начало