Вы можете создать плейбук для автоматизации анализа угроз и реагирования на них.
Чтобы создать плейбук, вам должна быть присвоена одна из следующих ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.
Чтобы создать плейбук:
В главном окне программы перейдите в раздел Мониторинг и отчеты → Плейбуки.
Нажмите на кнопку Создать плейбук.
Откроется окно Создать плейбук.
В поле Тенант выберите родительский тенант и дочерние тенанты, для которых нужно запустить плейбук.
Все дочерние тенанты выбранного родительского тенанта автоматически унаследуют этот плейбук. Чтобы выключить наследование плейбука, снимите флажок рядом с дочерними тенантами. Наследование плейбука выключено для всех дочерних тенантов.
В поле Имя введите имя плейбука.
Обратите внимание, что имя плейбука должно быть уникальным и не может быть длиннее 255 символов.
Имя плейбука не должно содержать следующие специальные символы: <> ".
При необходимости в поле Теги укажите до 30 тегов. Вы можете фильтровать плейбуки, используя назначенные теги.
Максимальная длина тега составляет 50 символов.
При необходимости в поле Описание введите описание плейбука или комментарий.
В списке Область действия выберите следующие параметры:
Обнаружение. Плейбук будет запускаться только для обнаружений.
Инцидент. Плейбук будет запускаться только для инцидентов.
В списке Режим работы выберите следующие параметры:
Автоматический запуск. Плейбук в этом режиме работы автоматически запускается при регистрации соответствующих обнаружений или инцидентов.
Обучение. При регистрации соответствующих обнаружений или инцидентов, плейбук в этом режиме работы запрашивает разрешение пользователя на запуск.
Запуск вручную. Плейбук в этом режиме работы можно запустить только вручную.
В списке Правила запусков выберите действие, которое будет выполняться, если два или более экземпляра плейбука запускаются одновременно:
Добавить экземпляры плейбуков в очередь. Новый экземпляр плейбука будет запущен после завершения текущего. По умолчанию выбрано это действие.
Завершить текущее выполнение и запустить новый экземпляр. Выполнение текущего экземпляра плейбука будет прекращено. После этого запускается новый экземпляр плейбука.
Не запускайте новые экземпляры плейбуков. Новый экземпляр плейбука не будет запущен. Выполнение текущего экземпляра плейбука будет продолжено.
Список правил запуска отображается только в том случае, если выбран режим работы Автоматический запуск.
В разделе Триггер укажите условие автоматического запуска плейбука.
Чтобы описать условие срабатывания триггера, используйте выражения jq. Для получения дополнительной информации о выражениях jq см. Руководство по jq.
Например, чтобы отфильтровать обнаружения или инциденты по уровню критичности, укажите следующее выражение:
.Severity == "critical"
Вы также можете указать сложные выражения для фильтрации обнаружений или инцидентов.
Например, чтобы отфильтровать критические обнаружения или инциденты по имени правила, укажите следующее выражение:
[(.Severity == "critical") and (.Rules[] |.Name | contains("Rule_1"))]
Если вы выберете режим работы Запуск вручную, раздел Триггер будет недоступен.
Чтобы просмотреть обнаружения или инциденты, соответствующие плейбуку триггера, в разделе Совпадения нажмите на кнопку Найти.
Также можно запросить полный список обнаружений или инцидентов. Для этого в разделе Триггер введите true и нажмите на кнопку Найти.
Отобразится полный список обнаружений или инцидентов.
В разделе Алгоритм укажите последовательность действий по реагированию на обнаружения или инциденты в формате JSON.
При необходимости можно скопировать алгоритм из другого плейбука. Для этого выполните следующие:
Нажмите на кнопку Скопировать из другого плейбука.
Откроется окно Скопировать из другого плейбука.
В списке плейбуков выберите плейбук для копирования алгоритма и нажмите на кнопку Добавить.
Алгоритм выбранного плейбука добавлен в раздел Алгоритм.
При необходимости выберите Запустите плейбук для всех совпадающих обнаружений или инцидентов. Обратите внимание, что система может быть перегружена.