Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Реагирование на угрозы

Плейбуки

Просмотр свойств плейбука

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Просмотр свойств плейбука

15 мая 2024

ID 249269

Скачать PDF

Плейбуки позволяют автоматизировать рабочие процессы и сокращать время, необходимое для обработки алертов и инцидентов.

Чтобы просматривать плейбуки, вам должна быть присвоена одна из следующих ролей: Главный администратор, Администратор SOC, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Подтверждающий, Наблюдатель, Администратор тенанта.

Чтобы просмотреть свойства плейбука:

  1. В главном окне программы перейдите в раздел Мониторинг и отчетыПлейбуки.
  2. В списке плейбуков нажмите на имя плейбука, который вы хотите просмотреть.

    Откроется окно Свойства плейбука.

  3. Переключайтесь между вкладками, чтобы получить информацию о плейбуке.

Общие

Вкладка Общие содержит следующую информацию о плейбуке.

  • Тенант. Имя тенанта, которому принадлежит плейбук.
  • Теги. Теги, присвоенные плейбуку.
  • Описание. Описание плейбука.
  • Область действия. Область действия плейбука. Возможные значения: Алерт или Инцидент.
  • Создана. Дата и время создания плейбука.
  • Изменена. Дата и время последнего изменения плейбука.
  • Триггер. Описание алертов или инцидентов, запускающих плейбук. Триггер описывается с помощью jq-выражений.
  • Алгоритм. Описание действий по реагированию, которые запускаются во время выполнения плейбука. Алгоритм описан с помощью JSON.

Вы можете изменить свойства плейбука, нажав на кнопку Изменить.

История

Вкладка История содержит таблицу, в которой перечислены все плейбуки или действия по реагированию, запущенные в плейбуке. На этой вкладке вы можете просмотреть историю реагирования и завершить запущенные плейбуки или действия по реагированию, нажав на кнопку Прервать. Вы также можете просмотреть историю действий по реагированию в разделе История реагирования или в деталях алерта или инцидента.

Вы можете группировать и фильтровать данные в таблице следующим образом:

  • Нажмите на значок параметров () и выберите столбцы для отображения в таблице.
  • Нажмите на значок фильтрации (), укажите и примените критерий фильтрации в открывшемся меню.

    Отобразится отфильтрованная таблица устройств.

Таблица содержит следующие столбцы:

  • Действия. Название действия по реагированию.
  • Параметры реагирования. Параметры действия по реагированию, указанные в алгоритме плейбука.
  • Начало. Дата и время запуска плейбука или действия по реагированию.
  • Конец. Дата и время завершения плейбука или действия по реагированию.
  • ID алерта или ID инцидента. Идентификатор, содержащий ссылку на детали алерта или инцидента.
  • Запущено. Имя пользователя, запустившего плейбук или действие по реагированию.
  • Подтверждающий. Имя пользователя, подтвердившего запуск плейбука или действия по реагированию.

    По умолчанию этот столбец скрыт. Чтобы отобразить столбец, нажмите на значок параметров () и выберите столбец Подтверждающий.

  • Время подтверждения. Дата и время, когда пользователь подтвердил или отклонил запуск плейбука или действие по реагированию.

    По умолчанию этот столбец скрыт. Чтобы отобразить столбец, нажмите на значок параметров () и выберите столбец Время подтверждения.

  • Статус действия. Статус выполнения плейбука или действия по реагированию. В этом столбце могут отображаться следующие значения:
    • Ожидание подтверждения – действие по реагированию или плейбук ожидают подтверждения для запуска.
    • В обработке – выполняется действие по реагированию или запущен плейбук.
    • Успешно – действие по реагированию или плейбук завершены без ошибок или предупреждений.
    • Предупреждение – действие по реагированию или плейбук завершены с предупреждениями.
    • Ошибка – действие по реагированию или плейбук завершены с ошибками.
    • Прервано – действие по реагированию или плейбук завершены, так как пользователь прервал выполнение.
    • Истекло время подтверждения – действие по реагированию или плейбук завершены, так как время подтверждения для запуска истекло.
    • Отклонено – действие по реагированию или плейбук завершены, так как пользователь отклонил запуск.
  • Активы. Количество активов, для которых запускается плейбук или действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе.
  • Тип актива. Тип актива, для которого запускается действие по реагированию или плейбук. Возможные значения: Устройство или Пользователь.

Журнал изменений

Вкладка Журнал изменений содержит историю изменений плейбука, включая время, автора и описание.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!