Запуск плейбуков и действий по реагированию

Запуск плейбуков

В зависимости от ваших требований вы можете настроить способ запуска плейбука. При создании плейбука вы можете выбрать один из следующих режимов работы:

• Автоматический. Выберите этот режим работы, если вы хотите запускать автоматически плейбуки и действия по реагированию.

  Плейбуки в этом режиме помогают автоматизировать реагирование на угрозы, а также сокращают время, необходимое для анализа алертов и инцидентов.

• Обучение. Выберите этот режим работы, если вы хотите проверить, правильно ли настроен плейбук.

  Плейбуки в этом режиме не будут запускаться автоматически при обнаружении соответствующего алерта или инцидента. Вместо этого плейбук запрашивает подтверждения пользователя на запуск.

• Ручной. Выберите этот режим работы, если вы хотите запускать плейбук только вручную.

  У плейбуков в этом режиме нет триггера, поэтому вы можете запускать такие плейбуки для любого алерта или инцидента, в зависимости от выбранной области действия плейбука. Дополнительные сведения см. в разделе Запуск плейбуков вручную.

Также можно изменить режим работы плейбука. Дополнительные сведения см. в разделе Изменение плейбуков.

Запуск действий по реагированию

Действия по реагированию могут запускаться вручную, автоматически в рамках плейбука или могут быть настроены на запрос подтверждения пользователя перед запуском в плейбуке. По умолчанию ручное подтверждение действия по реагированию выключено.

Дополнительные сведения о настройке ручного подтверждения действия по реагированию, запущенного в плейбуке, см. в разделе Настройка ручного подтверждения плейбуков и ответных действий.

Запуск плейбуков вручную

Open Single Management Platform позволяет вручную запускать любой плейбук, соответствующий алертам или инцидентам, на которые требуется реагировать.

Чтобы запустить плейбук вручную, вам должна быть присвоена одна из следующих ролей: Главный администратор, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.

Вы также можете запустить плейбук для наблюдаемых объектов и активов, если вы указали эти объекты при создании плейбука и при его запуске.

Запуск плейбука для алерта

Чтобы запустить плейбук вручную для алерта:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
2. В таблице алертов нажмите на ссылку с идентификатором, для которого вы хотите запустить плейбук.
3. В открывшемся окне Детали алерта нажмите на кнопку Выбрать плейбук.

   Откроется окно Выбрать плейбук.

4. В списке плейбуков, соответствующих алертов, выберите плейбук, который вы хотите запустить и нажмите на кнопку Запуск.

   Если выбранный плейбук уже запущен для этого алерта, в появившемся окне Мониторинг и отчеты, выполните одно из следующих действий:

   • Если вы хотите дождаться завершения текущего экземпляра плейбука, нажмите на кнопку Подождите и запустите.

     Новый экземпляр плейбука будет запущен после завершения текущего.

   • Если вы хотите немедленно запустить новый экземпляр плейбука, нажмите на кнопку Прервать и запустить новый.

     Текущий экземпляр плейбука будет прерван, а новый будет запущен.

   • Если вы хотите отменить запуск нового плейбука, нажмите на кнопку Закрыть ().

   Если выбранный плейбук уже имеет статус Ожидание подтверждения, после запуска вручную его статус изменится на В обработке.

Плейбук запускается для выбранного алерта. После того, как плейбук будет завершен, вы получите уведомление.

Запуск плейбука для инцидента

Чтобы запустить плейбук вручную для инцидента:

1. В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты и выберите вкладку XDR-инциденты.
2. В таблице инцидентов перейдите по ссылке с идентификатором, для которого вы хотите запустить плейбук.
3. В открывшемся окне Сведения об инциденте нажмите на кнопку Выбрать плейбук.

   Откроется окно Выбрать плейбук.

4. В списке плейбуков, соответствующие инциденту, выберите плейбук, который вы хотите запустить и нажмите на кнопку Запуск.

   Если выбранный плейбук уже запущен для этого инцидента, в появившемся окне Мониторинг и отчеты, выполните одно из следующих действий:

   • Если вы хотите дождаться завершения текущего экземпляра плейбука, нажмите на кнопку Подождите и запустите.

     Новый экземпляр плейбука будет запущен после завершения текущего.

   • Если вы хотите немедленно запустить новый экземпляр плейбука, нажмите на кнопку Прервать и запустить новый.

     Текущий экземпляр плейбука будет прерван, а новый будет запущен.

   • Если вы хотите отменить запуск нового плейбука, нажмите на кнопку Закрыть ().

   Если выбранный плейбук уже имеет статус Ожидание подтверждения, после запуска вручную его статус изменится на В обработке.

Плейбук будет запущен для выбранного инцидента. После того, как плейбук будет завершен, вы получите уведомление.

Запуск плейбуков для объектов, указанных пользователями

Вы можете указать наблюдаемые объекты и активы, для которых должен выполняться плейбук. Для этого вам нужно создать плейбук со следующими параметрами:

• В списке Область действия выбрать Алерт или Инцидент.
• В списке Режим работы выбрать Ручной.
• В разделе Алгоритм при настройке действия по реагированию использовать выражения jq, чтобы указать объекты (наблюдаемые объект или активы), для которых вы хотите запустить плейбук. Эти объекты будут входными данными для плейбука при его запуске.

Если вы не укажете объекты в алгоритме плейбука и выберете их только перед запуском плейбука, эти объекты будут проигнорированы.

После того как плейбук создан, вы можете запустить его для выбранных объектов.

Для этого вам должна быть присвоена одна из следующих XDR-ролей: Главный администратор, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня или Администратор тенанта.

Чтобы запустить плейбук для выбранных объектов:

1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделе Алерты или Инциденты нажмите на идентификатор алерта или инцидента, из которого вы хотите запустить плейбук.
2. В открывшемся окне нажмите на кнопку Выбрать плейбук.

   Откроется окно Выбрать плейбук.

3. Выберите параметр Установите флажок Выберите целевые объекты перед запуском плейбуков и нажмите на кнопку Запуск.
4. В открывшемся окне Целевые объекты выберите объекты на вкладках Наблюдаемые объекты и Активы, для которых вы хотите запустить плейбук, и нажмите на кнопку Применить и запустить.

   Плейбук будет запущен для выбранного объекта.

Вы можете просмотреть результат плейбука на вкладке История в алерте или инциденте, на вкладке плейбука История и в разделе История реагирования.

Например, вы пишете скрипт, который вызывается во время действия по реагированию executeCustomScript. При создании плейбука в разделе Алгоритм вы пишете действие по реагированию executeCustomScript с входными данными плейбука. Затем вам нужно запустить скрипт для наблюдаемого объекта с типом IP, который вы выбираете при запуске плейбука. Скрипт использует IP-адрес, который вы выбрали в качестве параметра:

{

"dslSpecVersion": "1.1.0",

"version": "1",

"actionSpecVersion": "1",

"executionFlow": [

{

"action": {

"function": {

"type": "executeCustomScript",

"params": {

"commandLine": "./script.py",

"commandLineParameters": "${ \"-ip \" + ([.input.observables[] | select(.type == \"ip\")] | map(.value) | join(\",\")) }",

"workingDirectory": "/folder/with/script"

}

},

"onError": "stop"

}

},

{

"action": {

"function": {

"type": "updateBases",

"params": {

"wait": false

},

"assets": "${ [.input.assets[] | select(.Type == \"host\") | .ID] }"

}

}

}

]

}

Несколько объектов будут входными данными для плейбука, а список IP-адресов, разделенных запятыми, должны быть входными данными для скрипта:

{

"input": {

"observables": [

{

"type": "ip",

"value": "127.0.0.1"

},

{

"type": "ip",

"value": "127.0.0.2"

},

{

"type": "md5",

"value": "29f975b01f762f1a6d2fe1b33b8e3e6e"

}

],

"assets":[

{

"AttackerOrVictim": "unknown",

"ID": "c13a6983-0c40-4986-ab30-e85e49f98114",

"InternalID": "6d831b04-00c2-44f4-b9e3-f7a720643fb7",

"KSCServer": "E5DE6B73D962B18E849DC0BF5A2BA72D",

"Name": "VIM-W10-64-01",

"Type": "host"

}

]

}

После того как выражения jq выполнят вычисления с операционными данными плейбука, следующая информация передается в качестве параметров командной строки:

-ip 127.0.0.1,127.0.0.2

Для плейбука, ожидающего входных данных, если вы указали разные типы объектов при создании плейбука и при его запуске или если вы не выбрали параметр Выбрать целевые объекты перед запуском плейбука, плейбук завершится с одним из следующих результатов:

• Произойдет ошибка, поскольку плейбук не получил входных данных.
• Действие не будет выполнено, поскольку плейбук содержит условие или цикл, основанный на входных данных.
• Результат будет зависеть от ответа приложения, службы или скрипта, выполняющего действие.

Запуск плейбуков в режиме Обучение

Режим работы Обучение позволяет вам проверять, правильно ли настроен плейбук. Это может быть полезно, если вы планируете изменить режим работы плейбука на Автоматический.

Все плейбуки в режиме Обучение требуют подтверждения запуска пользователем.

Чтобы запустить плейбук в режиме работы Обучение, вам должна быть присвоена одна из следующих ролей: Главный администратор, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.

Плейбук в режиме работы Обучение не может быть запущен автоматически при регистрации запускающего алерта или инцидента. Вы можете протестировать запуск плейбука в режиме работы Обучение одним из следующих способов:

• Создайте алерт или инцидент, соответствующий триггеру плейбука.
• Измените алерт или инцидент, соответствующий триггеру плейбука. Алерт или инцидент должны иметь статус, отличный от Закрыт.

Когда одно из вышеуказанных действий выполнено, плейбук запрашивает подтверждение пользователя для запуска. Дополнительные сведения о том, как подтвердить плейбук, см. в разделе Подтверждение плейбуков или действий по реагированию.