Запуск плейбуков вручную
Kaspersky XDR Expert позволяет вручную запускать все плейбуки, соответствующие всем обнаружениям или инцидентам, на которые требуется реагировать.
Чтобы запустить плейбук вручную, вам должна быть присвоена одна из следующих ролей: Главный администратор, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.
Чтобы запустить плейбук вручную для обнаружения:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Обнаружения.
- В таблице обнаружений нажмите на ссылку с идентификатором, для которого вы хотите запустить плейбук.
- В открывшемся окне Информация об обнаружении нажмите на кнопку Выбрать плейбук.
Откроется окно Выбрать плейбук.
- В списке плейбуков, соответствующих обнаружению, выберите плейбук, который вы хотите запустить и нажмите на кнопку Запуск.
Если выбранный плейбук уже запущен для этого обнаружения, в появившемся окне Мониторинг и отчеты, выполните одно из следующих действий:
- Если вы хотите дождаться завершения текущего экземпляра плейбука, нажмите на кнопку Подождите и запустите.
Новый экземпляр плейбука будет запущен после завершения текущего.
- Если вы хотите немедленно запустить новый экземпляр плейбука, нажмите на кнопку Прервать и запустить новый.
Текущий экземпляр плейбука будет прерван, а новый будет запущен.
- Если вы хотите отменить запуск нового плейбука, нажмите на кнопку Закрыть (
).
Если выбранный плейбук уже имеет статус Ожидание подтверждения, после запуска вручную его статус изменится на В обработке.
- Если вы хотите дождаться завершения текущего экземпляра плейбука, нажмите на кнопку Подождите и запустите.
Плейбук запускается для выбранного обнаружения. После того, как плейбук будет завершен, вы получите уведомление.
Чтобы запустить плейбук вручную для инцидента:
- В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты и выберите вкладку XDR-инциденты.
- В таблице инцидентов перейдите по ссылке с идентификатором, для которого вы хотите запустить плейбук.
- В открывшемся окне Сведения об инциденте нажмите на кнопку Выбрать плейбук.
Откроется окно Выбрать плейбук.
- В списке плейбуков, соответствующие инциденту, выберите плейбук, который вы хотите запустить и нажмите на кнопку Запуск.
Если выбранный плейбук уже запущен для этого инцидента, в появившемся окне Мониторинг и отчеты, выполните одно из следующих действий:
- Если вы хотите дождаться завершения текущего экземпляра плейбука, нажмите на кнопку Подождите и запустите.
Новый экземпляр плейбука будет запущен после завершения текущего.
- Если вы хотите немедленно запустить новый экземпляр плейбука, нажмите на кнопку Прервать и запустить новый.
Текущий экземпляр плейбука будет прерван, а новый будет запущен.
- Если вы хотите отменить запуск нового плейбука, нажмите на кнопку Закрыть ().
Если выбранный плейбук уже имеет статус Ожидание подтверждения, после запуска вручную его статус изменится на В обработке.
- Если вы хотите дождаться завершения текущего экземпляра плейбука, нажмите на кнопку Подождите и запустите.
Плейбук будет запущен для выбранного инцидента. После того, как плейбук будет завершен, вы получите уведомление.
В начало