Настройка обработчика, расписания и рабочего процесса
Обработчик SOAR
Обработчик SOAR принимает от коннектора SOAR данные об алертах KUMA и создает на их основе инциденты SOAR. Для обработки используется предустановленный обработчик KUMA (Инциденты). Настройки обработчика KUMA (Инциденты) доступны в SOAR в разделе Настройки → Обработка событий → Обработчики событий:
- Правила обработки алертов KUMA можно просмотреть в настройках обработчика на вкладке Нормализация.
- Действия при создании новых объектов можно просмотреть в настройках обработчика на вкладке Действия для создания объектов типа Инцидент (2 линии).
Расписание запуска обработчика
Запуск коннектора и обработчика выполняется по предустановленному расписанию KUMA. Настройка этого расписания доступна в SOAR в разделе Настройки → Обработка событий → Расписание:
- В блоке параметров Настройки коннектора можно настроить параметры запуска коннектора.
- В блоке параметров Настройки обработки можно настроить параметры запуска обработчика.
Рабочий процесс SOAR
Жизненный цикл инцидентов SOAR, созданных на основе алертов KUMA, проходит по преднастроенному процессу Обработка инц. (2 линии). Настройка рабочего процесса доступна в SOAR в разделе Настройки → Рабочие процессы → Шаблоны рабочих процессов: выберите процесс Обработка инц. (2 линии) и нажмите на транзакцию или состояние, которое необходимо изменить.
