Запуск плейбуков вручную
Kaspersky SMP позволяет вручную запускать все плейбуки, соответствующие всем алертам или инцидентам, на которые требуется реагировать.
Чтобы запустить плейбук вручную, вам должна быть присвоена одна из следующих ролей: Главный администратор, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.
Чтобы запустить плейбук вручную для алерта:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты.
- В таблице алертов нажмите на ссылку с идентификатором, для которого вы хотите запустить плейбук.
- В открывшемся окне Детали алерта нажмите на кнопку Выбрать плейбук.
Откроется окно Выбрать плейбук.
- В списке плейбуков, соответствующих алертов, выберите плейбук, который вы хотите запустить и нажмите на кнопку Запуск.
Если выбранный плейбук уже запущен для этого алерта, в появившемся окне Мониторинг и отчеты, выполните одно из следующих действий:
- Если вы хотите дождаться завершения текущего экземпляра плейбука, нажмите на кнопку Подождите и запустите.
Новый экземпляр плейбука будет запущен после завершения текущего.
- Если вы хотите немедленно запустить новый экземпляр плейбука, нажмите на кнопку Прервать и запустить новый.
Текущий экземпляр плейбука будет прерван, а новый будет запущен.
- Если вы хотите отменить запуск нового плейбука, нажмите на кнопку Закрыть (
).
Если выбранный плейбук уже имеет статус Ожидание подтверждения, после запуска вручную его статус изменится на В обработке.
- Если вы хотите дождаться завершения текущего экземпляра плейбука, нажмите на кнопку Подождите и запустите.
Плейбук запускается для выбранного алерта. После того, как плейбук будет завершен, вы получите уведомление.
Чтобы запустить плейбук вручную для инцидента:
- В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты и выберите вкладку XDR-инциденты.
- В таблице инцидентов перейдите по ссылке с идентификатором, для которого вы хотите запустить плейбук.
- В открывшемся окне Сведения об инциденте нажмите на кнопку Выбрать плейбук.
Откроется окно Выбрать плейбук.
- В списке плейбуков, соответствующие инциденту, выберите плейбук, который вы хотите запустить и нажмите на кнопку Запуск.
Если выбранный плейбук уже запущен для этого инцидента, в появившемся окне Мониторинг и отчеты, выполните одно из следующих действий:
- Если вы хотите дождаться завершения текущего экземпляра плейбука, нажмите на кнопку Подождите и запустите.
Новый экземпляр плейбука будет запущен после завершения текущего.
- Если вы хотите немедленно запустить новый экземпляр плейбука, нажмите на кнопку Прервать и запустить новый.
Текущий экземпляр плейбука будет прерван, а новый будет запущен.
- Если вы хотите отменить запуск нового плейбука, нажмите на кнопку Закрыть ().
Если выбранный плейбук уже имеет статус Ожидание подтверждения, после запуска вручную его статус изменится на В обработке.
- Если вы хотите дождаться завершения текущего экземпляра плейбука, нажмите на кнопку Подождите и запустите.
Плейбук будет запущен для выбранного инцидента. После того, как плейбук будет завершен, вы получите уведомление.
В начало