Просмотр свойств плейбука

Плейбуки позволяют автоматизировать рабочие процессы и сокращать время, необходимое для обработки алертов и инцидентов.

Чтобы просматривать плейбуки, вам должна быть присвоена одна из следующих ролей: Главный администратор, Администратор SOC, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Подтверждающий, Наблюдатель, Администратор тенанта.

Чтобы просмотреть свойства плейбука:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Плейбуки.
2. В списке плейбуков нажмите на название плейбука, который вы хотите просмотреть.

   Откроется окно Свойства плейбука.

3. Переключайтесь между вкладками, чтобы получить информацию о плейбуке.

Общие

Вкладка Общие содержит следующую информацию о плейбуке.

• Тенант. Имя тенанта, которому принадлежит плейбук.
• Теги. Теги, присвоенные плейбуку.
• Описание. Описание плейбука.
• Область действия. Область действия плейбука. Возможные значения: Алерт или Инцидент.
• Создана. Дата и время создания плейбука.
• Изменена. Дата и время последнего изменения плейбука.
• Триггер. Описание алертов или инцидентов, запускающих плейбук. Триггер описывается с помощью jq-выражений.
• Алгоритм. Описание действий по реагированию, которые запускаются во время выполнения плейбука. Алгоритм описан с помощью JSON.

Вы можете изменить свойства плейбука, нажав на кнопку Изменить.

История

Вкладка История содержит таблицу, в которой перечислены все плейбуки или действия по реагированию, запущенные в плейбуке. На этой вкладке вы можете просмотреть историю реагирования и завершить запущенные плейбуки или действия по реагированию, нажав на кнопку Прервать. Вы также можете просмотреть историю действий по реагированию в разделе История реагирования или в деталях алерта или инцидента.

Вы можете группировать и фильтровать данные в таблице следующим образом:

• Нажмите на значок параметров () и выберите столбцы для отображения в таблице.
• Нажмите на значок фильтрации (), укажите и примените критерий фильтрации в открывшемся меню.

  Если вы применяете фильтр для столбца Статус действия, таблица отображает вручную запущенные действия по реагированию, статус которых содержит выбранное значение, и плейбуки, которые включают действия по реагированию, статус которых содержит выбранное значение. В этом случае будут отображаться только те действия по реагированию плейбука, которые соответствуют критерию фильтра.

Отобразится отфильтрованная таблица устройств.

Таблица содержит следующие столбцы:

• Действия. Название действия по реагированию.
• Параметры реагирования. Параметры действия по реагированию, указанные в алгоритме плейбука.
• Начало. Дата и время запуска плейбука или действия по реагированию.
• Конец. Дата и время завершения плейбука или действия по реагированию.
• ID алерта или ID инцидента. Идентификатор, содержащий ссылку на детали алерта или инцидента.
• Запущено. Имя пользователя, запустившего плейбук или действие по реагированию.
• Подтверждающий. Имя пользователя, подтвердившего запуск плейбука или действия по реагированию.

  По умолчанию этот столбец скрыт. Чтобы отобразить столбец, нажмите на значок параметров () и выберите столбец Подтверждающий.

• Время подтверждения. Дата и время, когда пользователь подтвердил или отклонил запуск плейбука или действие по реагированию.

  По умолчанию этот столбец скрыт. Чтобы отобразить столбец, нажмите на значок параметров () и выберите столбец Время подтверждения.

• Статус действия. Статус выполнения плейбука или действия по реагированию. В этом столбце могут отображаться следующие значения:
  • Ожидание подтверждения – действие по реагированию или плейбук ожидают подтверждения для запуска.
  • В обработке – действие по реагированию или плейбук выполняются.
  • Успешно – действие по реагированию или плейбук завершены без ошибок или предупреждений.
  • Предупреждение – действие по реагированию или плейбук завершены с предупреждениями.
  • Ошибка – действие по реагированию или плейбук завершены с ошибками.
  • Прервано – действие по реагированию или плейбук завершены, так как пользователь прервал выполнение.
  • Истекло время подтверждения – действие по реагированию или плейбук завершены, так как время подтверждения для запуска истекло.
  • Отклонено – действие по реагированию или плейбук завершены, так как пользователь отклонил запуск.
• Статус плейбука. Статус выполнения плейбука. В этом столбце могут отображаться следующие значения:
  • Ожидание подтверждения – плейбук ожидает подтверждения для запуска.
  • В обработке – плейбук выполняется.
  • Успешно – плейбук завершен без ошибок или предупреждений.
  • Предупреждение – плейбук завершен с предупреждениями.
  • Ошибка – плейбук завершен с ошибками.
  • Прервано – плейбук завершен, так как пользователь прервал выполнение.
  • Истекло время подтверждения – плейбук завершен, так как время для подтверждения запуска истекло.
  • Отклонено – плейбук завершен, так как пользователь отклонил запуск.

  Вы можете нажать на значение Статус плейбука или на значение Статус действия, чтобы открыть окно с результатом запуска плейбука или действия по реагированию. Идентификатор запуска может быть использован технической поддержкой. Если статус плейбука равен В обработке, вы можете просмотреть идентификатор запуска, наведя курсор мыши на значок рядом со статусом.

• Активы. Количество активов, для которых запускается плейбук или действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе. Поле пустое, если плейбук или действие по реагированию не включают активы.

Журнал изменений

Вкладка Журнал изменений содержит историю изменений плейбука, включая время, автора и описание.

В начало