Создание плейбуков

Вы можете создать плейбук для автоматизации анализа угроз и реагирования на них.

Чтобы создать плейбук, вам должна быть присвоена одна из следующих ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.

Open Single Management Platform также позволяет создать плейбук, соответствующий вашим потребностям, на основе существующего. Подробную информацию см. в разделе Настройка плейбуков.

Чтобы создать плейбук:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчетыПлейбуки.
  2. Нажмите на кнопку Создать.

    Откроется окно Создать плейбук, в котором слева будет рабочая область визуального редактора, а справа – панель Параметры плейбука. Визуальный редактор позволяет вам создавать и отображать поток выполнения плейбука, а также отображать взаимосвязь между шагами, участвующими в создании плейбука.

    На основе действий, которые вы выполняете в визуальном редакторе, формируется DSL-схема алгоритма плейбука. Изменения, вносимые вами в рабочей области визуального редактора, отображаются в коде, и наоборот. При необходимости вы можете открыть редактор кода, нажав на кнопку Показать код в панели инструментов.

  3. В разделе Параметры плейбука укажите следующие параметры:
    • В поле Тенант и наследование выберите родительский тенант и дочерние тенанты, для которых нужно запустить плейбук.

      Все дочерние тенанты выбранного родительского тенанта автоматически унаследуют этот плейбук. Чтобы выключить наследование плейбука, снимите флажок рядом с нужным дочерним тенантом. Наследование плейбука будет выключено для этого тенанта, а также для его субтенантов, при их наличии.
      Если вы выберете дочерний тенант, его субтенанты будут выбраны автоматически.

    • В поле Название введите название плейбука.

      Обратите внимание, что название плейбука должно быть уникальным в рамках тенанта и не может быть длиннее 255 символов.

    • В списке Область действия выберите следующие параметры:
      • Алерт. Плейбук будет запускаться только для алертов. По умолчанию этот вариант выбран.
      • Инцидент. Плейбук будет запускаться только для инцидентов.
    • В списке Режим работы выберите следующие параметры:
      • Автоматический. Плейбук в этом режиме работы автоматически запускается при обнаружении соответствующих алертов или инцидентов.
      • Обучение. Плейбук в этом режиме работы запрашивает разрешение пользователя на запуск при обнаружении соответствующих алертов или инцидентов.
      • Ручной. Плейбук в этом режиме работы можно запустить только вручную.
    • При необходимости в поле Теги укажите до 30 тегов. Вы можете фильтровать плейбуки, используя назначенные теги.

      Максимальная длина тега составляет 50 символов.

    • При необходимости в поле Описание введите описание плейбука или комментарий.
    • В раскрывающемся списке При одновременном запуске нескольких экземпляров плейбука выберите действие, которое следует выполнить, если одновременно запускаются два или более экземпляров плейбуков:
      • Добавить экземпляры плейбука в очередь. Новый экземпляр плейбука будет запущен после завершения текущего. По умолчанию выбрано это действие.
      • Завершить текущее выполнение и запустить новый экземпляр. Выполнение текущего экземпляра плейбука будет прекращено. После этого запускается новый экземпляр плейбука.
      • Не запускать новые экземпляры плейбука. Новый экземпляр плейбука не будет запущен. Выполнение текущего экземпляра плейбука будет продолжено.

      Раскрывающийся список При одновременном запуске нескольких экземпляров плейбука отображается только в том случае, если выбран режим работы Автоматический.

    • По умолчанию плейбук запускается только для новых алертов или инцидентов, соответствующих триггеру.

      Если вы хотите запустить новый плейбук для существующих алертов или инцидентов, соответствующих триггеру, установите флажок Запустите плейбук для всех совпадающих алертов или инцидентов. Обратите внимание, что система может быть перегружена.

    • При необходимости в разделе Дополнительные параметры укажите следующие параметры плейбука:
      • Время ожидания плейбука – максимальное время выполнения плейбука. По умолчанию указано значение 24h. Максимальное значение – 48h.

        Если вы хотите создать политики, которые будут в дальнейшем применяться в действиях по реагированию, включите переключатель Используйте политики времени ожидания для действия по реагированию и добавьте политики.

        После выключения переключателя добавленные политики будут удалены.

      • Вход – выражение jq для изменения входных данных перед выполнением плейбука.
      • Выход – выражение jq для изменения выходные данных после выполнения плейбука.
      • Изменить способ – способ изменения выходных данных. Выберите, следует ли объединить текущие и новые данные или перезаписать текущие данные новыми данными, выбрав параметр Объединить или Перезаписать.

      Остальные дополнительные параметры предустановлены и не могут быть изменены:

      • Версия плейбука – версия плейбука. Может потребоваться более точное определение плейбука в телеметрии.
      • Версия DSL – версия DSL-схемы.
      • Версия действия – версия схемы действий по реагированию с описанием входных параметров функции реагирования.
  4. В рабочей области визуального редактора настройте триггер и алгоритм плейбука. Нажмите на шаг Триггер и в открывшейся панели свойств триггера укажите условие автоматического запуска плейбука.

    Если вы выберете режим работы Ручной, параметры триггера будут недоступны.

    Чтобы описать условие срабатывания триггера, используйте выражения jq. Для получения дополнительной информации о выражениях jq см. Руководство по jq.

    В зависимости от того, какой параметр вы выбрали в списке Область действия при создании или изменении плейбука, используется модель данных алерта или модель данных инцидента.

    Например, чтобы отфильтровать алерты или инциденты по уровню важности, укажите следующее выражение:

    .Severity == "critical"

    Вы также можете указать сложные выражения для фильтрации алертов или инцидентов.

    Например, чтобы отфильтровать критические алерты или инциденты по имени правила, укажите следующее выражение:

    (.Severity == "critical") and (.Rules[] |.Name | contains("Rule_1"))

    где Rules [] | .Name это имя сработавшего правила.

    Проверка выражений jq настроена. Если вы укажете неверное выражение при настройке плейбука в триггере, ошибка будет отмечена красным цветом. Если вы хотите просмотреть подробную информацию, наведите курсор мыши на ошибку.

  5. Если вы хотите просмотреть алерты или инциденты, соответствующие триггеру плейбука, в разделе Сопоставление триггеров нажмите на кнопку Найти. По умолчанию отображаются 10 последних измененных алертов и инцидентов. Если вы хотите изменить значение, откройте раскрывающийся список и выберите нужное значение.

    Также можно запросить полный список алертов или инцидентов. Для этого в разделе Триггер введите true и нажмите на кнопку Найти.

    Отобразится полный список алертов или инцидентов.

  6. Укажите шаги алгоритма плейбука.

    Алгоритм можно скопировать из другого плейбука. Для этого в панели инструментов нажмите на кнопку Копировать алгоритм, в открывшемся окне выберите плейбук, из которого нужно скопировать алгоритм, и нажмите на кнопку ОК.

    Проверка выражений jq и синтаксиса JSON настроена. Если вы укажете неверное выражение при настройке плейбука в алгоритме, ошибка будет отмечена красным цветом. Если вы хотите просмотреть подробную информацию, наведите курсор мыши на ошибку.

    Чтобы добавить шаг алгоритма, выполните следующие действия:

    1. Наведите курсор мыши на шаг, от которого необходимо построить связь с новым шагом.

      Если вы добавляете шаг в первый раз, вы можете навести курсор мыши только на шаг Триггер.

    2. Нажмите и удерживайте значок белой точки (unloc_white_ dot), который отображается, а затем начните рисовать стрелку.
    3. Отпустите курсор мыши и в открывшемся меню выберите шаг.

      Выбранный шаг отобразится в визуальном редакторе.

    4. Нажмите на шаг, чтобы настроить его параметры. Подробнее см. в разделе Настройка шагов выполнения плейбука в визуальном редакторе.

    Также вы можете нажать правой кнопкой мыши в любой части рабочей области визуального редактора, чтобы вызвать меню, а затем выбрать шаг, который вы хотите добавить. В этом случае после добавления шага необходимо выстроить связи, нарисовав стрелки между шагами. Если связи не выстроены, вы можете сохранить плейбук только как черновик.

    Если шаги алгоритма не добавлены, вы можете сохранить плейбук только как черновик.

  7. Сохраните плейбук одним из следующих способов:
    • Нажав на кнопку Опубликовать. Сохраненный плейбук будет готов к использованию и отобразится в таблице плейбуков со статусом Активный.
    • Нажав на кнопку Создать как черновик. Это позволит вам создать плейбук, указав только его название и тенант, которому он принадлежит. Плейбук отобразится в списке плейбуков со статусом Черновик. Вы можете открыть его и продолжить вносить изменения.

      При сохранении плейбука в качестве черновика выполняется проверка, ошибки выделяются, но игнорируются.
      Вы можете сохранить плейбук только как черновик, если не построены связи между шагами выполнения и триггером, не настроены обязательные параметры или указаны недопустимые параметры.

Плейбук создан и отображается в списке плейбуков.

В начало