Изменение алертов с использованием плейбуков

Развернуть все | Свернуть все

Open Single Management Platform позволяет изменять инциденты вручную или с использованием плейбуков. При создании плейбука, вы можете настроить алгоритм плейбука для изменения свойств алерта.

Чтобы изменить алерт с помощью плейбука, вам должна быть присвоена одна из следующих XDR-ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня или Администратор тенанта.

Вы не можете изменять алерты, которые имеют статус Закрыт.

Вы можете изменить следующие свойства алерта с помощью плейбука:

• Исполнитель.
• Статус алерта.
• Комментарий.
• Атрибут ExternalReference.
• Дополнительный атрибут данных.

Примеры выражений, которые вы можете использовать в алгоритме плейбука для изменения свойств алерта:

• Назначение алерта пользователю

  {

  "dslSpecVersion": "1.1.0",

  "version": "1",

  "actionsSpecVersion": "1",

  "executionFlow": [

  {

  "action": {

  "function": {

  "type": "assignAlert",

  "params": {

  "assignee": {

  "id": "user_ID"

  }

  }

  }

  }

  }

  ]

  }

  Во время изменения исполнителя в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать исполнителя инцидента, вы можете выполнить поиск соответствующей записи по имени пользователя, и этот идентификатор будет указан в алгоритме.

• Отмена назначения алерта пользователю

  {

  "dslSpecVersion": "1.1.0",

  "version": "1",

  "actionsSpecVersion": "1",

  "executionFlow": [

  {

  "action": {

  "function": {

  "type": "assignAlert",

  "params": {

  "assignee": {

  "id": "nobody"

  }

  }

  }

  }

  }

  ]

  }

• Изменение статуса алерта

  Чтобы изменить статус алерта на В обработке:

  {

  "dslSpecVersion": "1.1.0",

  "version": "1",

  "actionsSpecVersion": "1",

  "executionFlow": [

  {

  "action": {

  "function": {

  "type": "setAlertStatus",

  "params": {

  "status": "inProgress"

  }

  }

  }

  }

  ]

  }

  Чтобы изменить статус алерта на Закрыт:

  {

  "dslSpecVersion": "1.1.0",

  "version": "1",

  "actionsSpecVersion": "1",

  "executionFlow": [

  {

  "action": {

  "function": {

  "type": "setAlertStatus",

  "params": {

  "status": "closed",

  "statusResolution": "truePositive"

  }

  }

  }

  }

  ]

  }

  Вы также можете указать следующие значения для параметра statusResolution: falsePositive и lowPriority.

  Когда вы изменяете статус алерта в алгоритме плейбука, могут отображаться следующие подсказки: new, inProgress, closed.

• Добавление комментария к алерту

  "dslSpecVersion": "1.1.0",

  "version": "1",

  "actionsSpecVersion": "1",

  "executionFlow": [

  {

  "action": {

  "function": {

  "type": "addCommentToAlert",

  "params": {

  "text": "${ \"New comment for alert with ID: \" + alert.InternalID }"

  }

  }

  }

  }

  ]

  }

• Изменение атрибута ExternalReference.

  {

  "dslSpecVersion": "1.1.0",

  "version": "1",

  "actionsSpecVersion": "1",

  "executionFlow": [

  {

  "action": {

  "function": {

  "type": "setAlertExternalRef",

  "params": {

  "externalRef": "${ \"Appended externalRef for alert with ID: \" + alert.InternalID }",

  "mode": "append"

  }

  }

  }

  }

  ]

  }

  Чтобы заменить текущее значение атрибута ExternalReference в алерте значением из плейбука, укажите значение replace для параметра mode.

• Изменение Дополнительного атрибута данных.

  {

  "dslSpecVersion": "1.1.0",

  "version": "1",

  "actionsSpecVersion": "1",

  "executionFlow": [

  {

  "action": {

  "function": {

  "type": "addAlertAdditionalData",

  "params": {

  "data": "${ {\"customKey_1 (alert.InternalID)\": (\"customValue_1 (\" + alert.InternalID + \")\" )} }",

  "mode": "append"

  }

  }

  }

  }

  ]

  }

  Чтобы заменить текущее значение атрибута AdditionalData в алерте значением из плейбука, укажите значение replace для параметра mode.