Просмотр свойств плейбука

Плейбуки позволяют автоматизировать рабочие процессы и сокращать время, необходимое для обработки алертов и инцидентов.

Чтобы просматривать плейбуки, вам должна быть присвоена одна из следующих ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Подтверждающий, Аудитор, Администратор тенанта.

Чтобы просмотреть свойства плейбука:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Плейбуки.
2. В списке плейбуков нажмите на название плейбука, который вы хотите просмотреть.

   Открывшееся окно содержит информацию о плейбуке.

Справа в панели Параметры плейбука отображается следующая общая информация:

• Тенант и наследование. Имя тенанта, которому принадлежит плейбук.
• Название. Название плейбука.
• Область действия. Область действия плейбука. Возможные значения: Алерт или Инцидент.
• Режим работы. Режим работы плейбука. Возможные значения: Автоматический, Обучение, Ручной.

  Если режим выбран режим работы плейбука Автоматический, отображается поле При одновременном запуске нескольких экземпляров плейбука. Возможные значения: Не запускать новые экземпляры плейбука, Завершить текущее выполнение и запустить новый экземпляр, Добавить экземпляры плейбука в очередь.

• Теги. Теги, присвоенные плейбуку.
• Описание. Описание плейбука.
• Дополнительные параметры. Необязательные параметры, указанные при создании плейбука.

В рабочей области визуального редактора слева отображаются триггер и алгоритм плейбука (шаги выполнения плейбука).

Вы можете изменить свойства плейбука, если у вас есть одна из следующих ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.

Вы можете просмотреть историю действий по реагированию на плейбук, нажав на кнопку Просмотреть историю реагирований в панели инструментов. Откроется список всех плейбуков или действий по реагированию, запущенных в рамках плейбука. Вы можете прервать запущенные плейбуки или действия по реагированию, нажав на кнопку Прервать.

Если необходимо вы можете группировать и фильтровать данные в таблице следующим образом:

• Нажмите на значок параметров () и выберите столбцы для отображения в таблице.
• Нажмите на значок фильтрации (), укажите и примените критерий фильтрации в открывшемся меню.

  Если вы применяете фильтр для столбца Статус, таблица отображает вручную запущенные действия по реагированию, статус которых содержит выбранное значение, и плейбуки, которые включают действия по реагированию, статус которых содержит выбранное значение. В этом случае будут отображаться только те действия по реагированию плейбука, которые соответствуют критерию фильтра.

Отобразится отфильтрованная таблица плейбуков.

Таблица содержит следующие столбцы:

• Действия. Название действия по реагированию.
• Параметры реагирования. Параметры действия по реагированию, указанные в алгоритме плейбука.
• Начало. Дата и время запуска плейбука или действия по реагированию.
• Конец. Дата и время завершения плейбука или действия по реагированию.
• ID алерта или ID инцидента. Идентификатор, содержащий ссылку на детали алерта или инцидента.
• Запущено. Имя пользователя, запустившего плейбук или действие по реагированию.
• Подтверждающий. Имя пользователя, подтвердившего запуск плейбука или действия по реагированию.

  По умолчанию этот столбец скрыт. Чтобы отобразить столбец, нажмите на значок параметров () и выберите столбец Подтверждающий.

• Время подтверждения. Дата и время, когда пользователь подтвердил или отклонил запуск плейбука или действие по реагированию.

  По умолчанию этот столбец скрыт. Чтобы отобразить столбец, нажмите на значок параметров () и выберите столбец Время подтверждения.

• Статус. Статус выполнения плейбука. В этом столбце могут отображаться следующие значения:
  • Ожидание подтверждения – плейбук ожидает подтверждения для запуска.
  • В обработке – плейбук выполняется.
  • Успешно – плейбук завершен без ошибок или предупреждений.
  • Предупреждение – плейбук завершен с предупреждениями.
  • Ошибка – плейбук завершен с ошибками.
  • Прервано – плейбук завершен, так как пользователь прервал выполнение.
  • Истекло время подтверждения – плейбук завершен, так как время для подтверждения запуска истекло.
  • Отклонено – плейбук завершен, так как пользователь отклонил запуск.

  Вы можете нажать на значение Статус, чтобы открыть окно с результатом запуска плейбуков. Идентификатор запуска может использоваться Службой технической поддержки для загрузки данных, необходимых для анализа в случае ошибок выполнения. По умолчанию данные хранятся 72 часа.
  Если статус плейбука равен В обработке, вы можете просмотреть идентификатор запуска, наведя курсор мыши на значок рядом со статусом.

• Активы. Количество активов, для которых запускается плейбук или действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе. Поле пустое, если плейбук или действие по реагированию не включают активы.

Вы также можете просмотреть историю действий по реагированию в разделе История реагирований или в деталях алерта или инцидента.

В начало