Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Реагирование на угрозы

Плейбуки

Создание плейбуков

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Создание плейбуков

15 мая 2024

ID 249267

Скачать PDF

Вы можете создать плейбук для автоматизации анализа угроз и реагирования на них.

Чтобы создать плейбук, вам должна быть присвоена одна из следующих ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.

Kaspersky SMP также позволяет создать плейбук, соответствующий вашим потребностям, на основе существующего. Подробную информацию см. в разделе Настройка плейбуков:

Чтобы создать плейбук:

  1. В главном окне программы перейдите в раздел Мониторинг и отчетыПлейбуки.
  2. Нажмите на кнопку Создать плейбук.

    Откроется окно Создать плейбук.

  3. В поле Тенант выберите родительский тенант и дочерние тенанты, для которых нужно запустить плейбук.

    Все дочерние тенанты выбранного родительского тенанта автоматически унаследуют этот плейбук. Чтобы выключить наследование плейбука, снимите флажок рядом с дочерними тенантами. Наследование плейбука выключено для всех дочерних тенантов.

    Если вы выберете дочерний тенант, все родительские тенанты будут выбраны автоматически.

  4. В поле Имя введите имя плейбука.

    Обратите внимание, что имя плейбука должно быть уникальным и не может быть длиннее 255 символов.

    Имя плейбука не должно содержать следующие специальные символы: <> ".

  5. При необходимости в поле Теги укажите до 30 тегов. Вы можете фильтровать плейбуки, используя назначенные теги.

    Максимальная длина тега составляет 50 символов.

  6. При необходимости в поле Описание введите описание плейбука или комментарий.
  7. В списке Область действия выберите следующие параметры:
    • Алерт. Плейбук будет запускаться только для алертов.
    • Инцидент. Плейбук будет запускаться только для инцидентов.
  8. В списке Режим работы выберите следующие параметры:
    • Автоматический. Плейбук в этом режиме работы автоматически запускается при регистрации соответствующих алертов или инцидентов.
    • Обучение. При регистрации соответствующих алертов или инцидентов, плейбук в этом режиме работы запрашивает разрешение пользователя на запуск.
    • Ручной. Плейбук в этом режиме работы можно запустить только вручную.
  9. В списке Правила запусков выберите действие, которое будет выполняться, если два или более экземпляра плейбука запускаются одновременно:
    • Добавить экземпляры плейбука в очередь. Новый экземпляр плейбука будет запущен после завершения текущего. По умолчанию выбрано это действие.
    • Завершить текущее выполнение и запустить новый экземпляр. Выполнение текущего экземпляра плейбука будет прекращено. После этого запускается новый экземпляр плейбука.
    • Не запускать новые экземпляры плейбука. Новый экземпляр плейбука не будет запущен. Выполнение текущего экземпляра плейбука будет продолжено.

    Список правил запуска отображается только в том случае, если выбран режим работы Автоматический.

  10. В разделе Триггер укажите условие автоматического запуска плейбука.

    Чтобы описать условие срабатывания триггера, используйте выражения jq. Для получения дополнительной информации о выражениях jq см. Руководство по jq.

    Например, чтобы отфильтровать алерты или инциденты по уровню критичности, укажите следующее выражение:

    .Severity == "critical"

    Вы также можете указать сложные выражения для фильтрации алертов или инцидентов.

    Например, чтобы отфильтровать критические алерты или инциденты по имени правила, укажите следующее выражение:

    [(.Severity == "critical") and (.Rules[] |.Name | contains("Rule_1"))]

    Проверка выражений jq настроена. Если вы укажете неверное выражение в разделе Триггер, ошибка будет отмечена красным цветом. Если вы хотите просмотреть подробную информацию, наведите курсор мыши на ошибку.

    Если вы выберете режим работы Ручной, раздел Триггер будет недоступен.

  11. Чтобы просмотреть алерты или инциденты, соответствующие плейбуку триггера, в разделе Сопоставление триггеров нажмите на кнопку Найти.

    Также можно запросить полный список алертов или инцидентов. Для этого в разделе Триггер введите true и нажмите на кнопку Найти.

    Отобразится полный список алертов или инцидентов.

  12. В разделе Алгоритм укажите последовательность действий по реагированию на алерты или инциденты в формате JSON. Подробнее см. в разделе Алгоритм плейбука.

    При необходимости можно скопировать алгоритм из другого плейбука. Для этого выполните следующие:

    1. Нажмите на кнопку Скопировать из другого плейбука.

      Откроется окно Скопировать из другого плейбука.

    2. В списке плейбуков выберите плейбук для копирования алгоритма и нажмите на кнопку Добавить.

      Алгоритм выбранного плейбука добавлен в раздел Алгоритм.

    Проверка выражений jq и синтаксиса JSON настроена. Если вы укажете неверное выражение в разделе Алгоритм, ошибка будет отмечена красным цветом. Если вы хотите просмотреть подробную информацию, наведите курсор мыши на ошибку.

  13. По умолчанию плейбук запускается только для новых алертов или инцидентов, соответствующих триггеру.

    Если вы хотите запустить новый плейбук для существующих алертов или инцидентов, соответствующих триггеру, установите флажок Запустите плейбук для всех совпадающих алертов или инцидентов. Обратите внимание, что система может быть перегружена.

  14. Нажмите на кнопку Создать.

Плейбук создан и отображается в списке плейбуков.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!