Изменение инцидентов с использованием плейбуков

Развернуть все | Свернуть все

Open Single Management Platform позволяет изменять инциденты вручную или с использованием плейбуков. При создании плейбука, вы можете настроить алгоритм плейбука для изменения свойств инцидента.

Чтобы изменить инцидент с помощью плейбука, вам должна быть присвоена одна из следующих ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня или Администратор тенанта.

Вы не можете изменять инциденты, которые имеют статус Закрыт.

Вы можете изменить следующие свойства инцидента с помощью плейбука:

• Исполнитель.
• Статус рабочего процесса инцидента.
• Тип инцидента.
• Комментарий.
• Описание.
• Приоритет.
• Атрибут ExternalReference.
• Дополнительный атрибут данных.

Примеры выражений, которые вы можете использовать в алгоритме плейбука для изменения свойств инцидента:

• Назначение инцидента пользователю.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "assignIncident", "params": { "assignee": { "id": "user_ID" } } } } } ] }

  Во время изменения исполнителя в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать исполнителя инцидента, вы можете выполнить поиск соответствующей записи по имени пользователя, и этот идентификатор будет указан в алгоритме.

• Отмена назначения инцидента пользователю
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "assignIncident", "params": { "assignee": { "id": "nobody" } } } } } ] }
• Изменение статуса рабочего процесса инцидента.

  Чтобы изменить статус рабочего процесса инцидента на Открыт:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentStatus", "params": { "typeId": "af9dd279-fc30-4596-963b-942f79920375", "statusId": "4db36105-5223-4078-b72c-e9e9983b0987" } } } } ] }

  Чтобы изменить статус рабочего процесса инцидента на Закрыт:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentStatus", "params": { "statusId": "INCIDENT_STATUS_ID", "statusResolution": "truePositive" } } } } ] }

  Вы также можете указать следующие значения для параметра statusResolution: falsePositive и lowPriority.

  Чтобы изменить статус рабочего процесса инцидента на пользовательский статус:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentStatus", "params": { "typeId": "22222222-2222-2222-2222-222222222222", "statusId": "11111111-1111-1111-1111-111111111111" } } } } ] }

  Во время изменения статуса рабочего процесса инцидента в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать статус рабочего процесса инцидента, вы можете выполнить поиск соответствующей записи по названию, и этот идентификатор будет указан в алгоритме.

• Изменение типа инцидента.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentType", "params": { "id": "INCIDENT_TYPE_UUID" } } } } ] }

  Во время изменения типа инцидента в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать тип инцидента, вы можете выполнить поиск соответствующей записи по названию, и этот идентификатор будет указан в алгоритме.

• Добавление комментария к инциденту.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "addCommentToIncident", "params": { "text": "${ \"Новый комментарий к инциденту с идентификатором: \\(incident.ID)\" }" } } } } ] }
• Изменение описания инцидента.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentDescription", "params": { "description": "${ incident.ID | tostring | \"New comment for incident with ID: \" + . }", "mode": "replace" } } } } ] }

  Чтобы дополнить существующее описание, укажите значение append для параметра mode.

• Изменение приоритета инцидента.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentPriority", "params": { "priority": "critical" } } } } ] }

  Вы также можете указать следующие значения для параметра priority: high, medium, low.

• Изменение атрибута ExternalReference.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentExternalRef", "params": { "externalRef": "${ \"new extReference value\" }", "mode": "replace" } } } } ] }

  Чтобы дополнить атрибут ExternalReference, укажите значение append для параметра mode.

• Изменение Дополнительного атрибута данных.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "addIncidentAdditionalData", "params": { "data": "${ {\"customKey\": \"customValue\"} }", "mode": "replace" } } } } ] }

  Чтобы дополнить Дополнительный атрибут данных, укажите значение append для параметра mode.