Предустановленный плейбук [KL] P005 "Sandbox High Detect" создает правило для блокировки выполнения файлов, которым компонент Sandbox в результате анализа назначил уровень важности алерта Высокий.
Триггер плейбука содержит следующее выражение:
"event.new and .Severity == \"high\" and any(.DetectionTechnologies[] == \"SB\"; .)"
Функции, используемые плейбуком: addFilePreventionRules.
Во время выполнения в этом плейбуке используется реагирование Добавить правило запрета.
Алгоритм плейбука содержит следующую последовательность действий по реагированию:
{
"version": "1",
"dslSpecVersion": "1.1.0",
"actionsSpecVersion": "1",
"executionFlow": [
{
"action": {
"function": {
"type": "addFilePreventionRules",
"assets": {
"selector": "execution-tenant"
},
"params": {
"files": "${[alert.ScannedFiles[] | select(any(.DetectionTechnologies[] == \"SB\"; .)) | .Hashes | map(.Value)] | flatten}",
"notify": true
}
},
"onError": "stop"
}
}
]
}
В начало