Плейбуки
Kaspersky SMP использует плейбуки, которые позволяют автоматизировать рабочие процессы и сократить время, необходимое для обработки алертов и инцидентов.
Плейбуки реагируют на алерты или инциденты в соответствии с заданным алгоритмом. Плейбук запускает алгоритм, включающий последовательность действий по реагированию, которые помогают анализировать и обрабатывать алерты или инциденты. Вы можете запустить плейбук вручную или настроить автоматический запуск нужного плейбука.
Автоматический запуск плейбуков выполняется в соответствии с триггером, который вы настраиваете при создании плейбука. Триггер определяет условия, которым должен соответствовать алерт или инцидент для автоматического запуска этого плейбука.
Область действия одного плейбука ограничена только алертами или только инцидентами.
Обратите внимание, что плейбук может принадлежать только одному тенанту и он автоматически наследуется всеми дочерними тенантами родительского тенанта, включая дочерние тенанты, которые будут добавлены после создания плейбука. Вы можете выключить наследование плейбука дочерними тенантами при создании или изменении плейбука.
В Kaspersky SMP есть два типа плейбуков:
- Предустановленные плейбуки
Предустановленные плейбуки созданы специалистами "Лаборатории Касперского". Эти плейбуки отмечены префиксом [KL] в названии и не могут быть изменены или удалены.
По умолчанию предустановленные плейбуки работают в режиме Обучение. Дополнительные сведения см. в разделе Предустановленные плейбуки.
- Пользовательские плейбуки
Вы можете сами создавать и настраивать плейбуки. При создании пользовательского плейбука нужно указать область действия плейбука (алерт или инцидент), триггер для автоматического запуска плейбука и алгоритм реагирования на угрозы. Для получения подробной информации о создании плейбука см. раздел Создание плейбуков.
Режимы работы
Вы можете настроить как автоматический, так и ручной запуск плейбуков. Способ запуска плейбука зависит от выбранного режима работы.
Существуют следующие типы режимов работы:
- Автоматический. Плейбук в этом режиме работы автоматически запускается при регистрации соответствующих алертов или инцидентов.
- Обучение. При регистрации соответствующих алертов или инцидентов, плейбук в этом режиме работы запрашивает разрешение пользователя на запуск.
- Ручной. Плейбук в этом режиме работы можно запустить только вручную.
Роли пользователей
Вы предоставляете пользователю права на управление плейбуками, назначая пользователям роли.
В таблице ниже представлены права доступа для управления плейбуками и выполнения действий пользователя.
Роль пользователя | Права пользователей | ||||
|---|---|---|---|---|---|
Чтение. | Запись. | Удалить | Выполнение | Подтверждение действия по реагированию | |
Главный администратор |
|
|
|
|
|
Администратор SOC |
|
|
|
|
|
Младший аналитик |
|
|
|
|
|
Аналитик 1-го уровня |
|
|
|
|
|
Аналитик 2-го уровня |
|
|
|
|
|
Менеджер SOC |
|
|
|
|
|
Подтверждающий |
|
|
|
|
|
Наблюдатель |
|
|
|
|
|
Администратор тенанта |
|
|
|
|
|
