创建操作手册

    最后更新于:

    在本页面

    概述

    本文档将引导您使用预定义逻辑块构建自定义操作手册。这些工作流可自动化安全响应流程,涵盖系统操作至AD用户管理,助您更高效地应对安全事件。

    创建自定义操作手册

    创建操作手册的步骤

    1. 在产品控制台中,导航至“告警”选项卡。点击页面右上角的“更多工具”图标(如下图所示)。
      Creating a playbook
      图1:告警选项卡中的更多工具图标
    2. 点击“操作手册”以打开“管理操作手册”页面。
      Creating a playbook
    3. 点击“+创建操作手册”按钮。
      Creating a playbook
      图2:通过“告警”选项卡创建操作手册按钮
    4. 在“策略集名称”字段中输入名称。
      Creating a playbook
      图3:创建策略手册时的策略手册名称字段
    5. 点击“操作手册名称 ”字段旁的“描述(可选)”输入操作手册说明,然后点击“确定”
      Creating a playbook
    6. 左侧窗格提供不同事件类别的组件。点击对应下拉图标展开操作项。通过将左侧窗格中的剧本模块拖拽至指定区域创建剧本。确保这些模块按逻辑顺序排列,以在您的基础设施中执行事件。
      Creating a playbook
      图4:创建策略手册时的模块布局
    7. 完成拖放操作的瞬间,系统将弹出编辑窗口,其中包含用于进一步配置该特定剧本块的字段。不同剧本块的编辑字段各不相同。按需编辑完毕后,点击"确定"即可。您随时可通过点击拖放区域内剧本块上可见的编辑图标 返回编辑这些剧本块。
      Creating a playbook
      图5:创建Playbook时的Playbook模块详情
    8. 单个Playbook可包含多个模块。完成Playbook工作流设计后,点击保存
      Creating a playbook
      图6:创建后保存Playbook
    9. 操作手册将立即保存,系统将返回"管理操作手册"标签页,您新建的操作手册会显示在操作手册列表中。

    重置操作手册

    1. 若需重置当前剧本创建过程中的所有配置,请点击下图标注的"清除剧本"按钮。
      Creating a playbook
      图7:创建过程中清除策略库选项
    2. 此时将弹出操作确认窗口,请点击"继续"按钮。
      Creating a playbook
    3. 此时剧本中所有已设置的配置将立即清除,您会发现工作区再次变为空白状态。

    操作手册模块列表

    本产品包含多种操作手册模块,可协助您配置操作手册以执行所需操作。逻辑模块按不同类别进行分组。

    以下列出了操作手册模块及其配置时需指定的详细参数:

    组件 逻辑模块 待指定的详细信息
    逻辑操作 决策允许根据先前操作的状态分支执行手册。 可选描述
    时间延迟允许在执行策略集时引入时间延迟。 延迟时间以秒为单位。
    网络操作 Ping设备 允许 您对网络内的设备执行ping操作以检查连接性
    • 待ping设备名称。
    • 将发送的回显请求消息数量。
    • 待发送数据包的大小。
    • 操作超时时间。
    • 指定时间内操作重试次数。
    追踪路由 可对 网络中的设备运行追踪路由功能以识别路径。
    • 要追踪路由的设备名称。
    • 最大跳数。
    • 操作超时时间。
    进程操作 进程测试允许您测试设备上进程是否正在运行。
    • 您希望测试该进程的设备名称。
    • 要测试的进程。
    • 用于执行进程的可执行路径和命令行参数。
    启动进程允许您在设备上启动进程
    • 要启动进程的设备名称。
    • 进程工作目录。
    • 启动进程的命令。
    停止进程允许您停止设备上的进程。
    • 要停止进程的设备名称。
    • 要停止的进程。
    • 用于执行进程的可执行路径和命令行参数。
    服务操作 测试服务允许您测试设备上是否正在运行服务。
    • 用于测试服务的设备名称。
    • 要测试的服务名称
    启动服务允许您在设备上启动服务。
    • 您希望启动服务的设备名称。
    • 要启动的服务。
    停止服务允许您停止设备上的服务。
    • 要停止服务的设备名称。
    • 要停止的服务
    Windows 操作 注销允许您注销设备上当前活动的会话。
    • 您希望注销的设备名称。
    • 选择是否强制执行此操作。
    关机允许您关闭 Windows 设备。
    • 要关机的设备名称。
    • 选择是否强制执行此操作。
    重新启动系统允许您重新启动 Windows 设备。
    • 将要重启的设备名称。
    • 选择是否强制执行此操作。
    执行 Windows 脚本允许您在 Windows 设备上执行指定的脚本文件。
    • 要执行脚本文件的设备名称。
    • 脚本文件的类型。
    • 上传待执行的脚本文件。
    • 脚本参数(如有)。
    • 多个参数可用逗号分隔。
    • 操作超时时间。
    • 脚本执行的工作目录。
    禁用 USB允许您禁用设备上的 USB 端口。 要禁用USB端口的设备名称。
    Linux 操作 关闭 Linux允许您关闭 Linux 设备。
    • 待关闭设备的名称。
    • 选择是否强制执行此操作。
    重启 Linux允许您重启 Linux 设备。
    • 待重启设备的名称。
    • 选择是否强制执行此操作。
    执行 Linux 脚本 允许 您在 Linux 设备上执行指定的脚本文件。
    • 要执行脚本文件的设备名称。
    • 脚本文件的类型。
    • 上传待执行的脚本文件。
    • 脚本参数(如有)。
    • 多个参数可用逗号分隔。
    • 操作超时时间。
    • 脚本执行的工作目录。
    通知操作 发送弹出消息允许您在设备上显示弹出消息。
    • 要在其上显示消息的设备名称。
    • 待显示的消息内容。
    发送电子邮件 允许 您发送电子邮件。
    • 收件人的电子邮件地址。
    • 电子邮件主题和正文。
    发送短信允许您发送短信。
    • 收件人的手机号码。
    • 短信内容。
    发送SNMP陷阱允许您向指定目标发送SNMP陷阱。
    • 企业OID。
    • SNMP管理器。
    • 消息内容。
    Active Directory 操作 禁用用户 允许 您禁用用户的账户。 要禁用的用户帐户名称。
    删除用户 允许 您删除用户账户。 要删除的用户帐户名称。
    禁用计算机允许禁用计算机账户。 要禁用的计算机账户名称
    防火墙操作 思科ASA拒绝入站规则允许您添加拒绝入站规则。
    • 防火墙设备名称。
    • 接口名称。
    • 源地址。
    • 目标地址。
    Cisco ASA 拒绝出站规则允许您添加拒绝出站规则。
    • 防火墙设备名称。
    • 接口名称。
    • 源地址。
    • 目标地址。
    Fortigate 拒绝访问规则允许您添加拒绝访问规则。
    • 防火墙设备名称。源地址。
    • 目标地址。
    • 源接口名称。
    • 目标接口名称。
    PaloAlto 拒绝访问规则允许您添加一条拒绝访问规则。
    • 防火墙设备名称。源地址。
    • 目标地址。
    • 源区域名称。
    • 目标区域名称。
    • 规则类型(通用、区域内或区域间)。
    SophosXG 拒绝访问规则允许您添加拒绝访问规则。
    • 防火墙设备名称。
    • 源地址。
    • 目标地址。
    SophosXG 更新拒绝访问规则允许您更新拒绝访问规则。
    • 防火墙设备的名称。
    • 规则名称。
    • 源地址。
    • 目标地址。
    Barracuda CloudGen 拒绝访问规则允许您添加拒绝访问规则。
    • 防火墙设备名称。
    • 源地址。
    • 目标地址。
    • 源接口名称。
    • 目标接口名称。
    • 规则类型(入站或出站)。
    杂项操作 写入文件 允许 您将消息写入文件
    • 文件所在设备的名称。
    • 文件名。
    • 文件的绝对路径。
    • 要写入文件的文本。
    • 选择文件是否已存在时进行追加或覆盖操作。
    CSV查找 允许 您在CSV文件中搜索值。
    • 点击"浏览"上传CSV文件。
    • 指定表头或列号。
    • 选择要匹配的字段。
    转发日志 允许 您将日志转发至指定目标。
    • 目标服务器的名称。
    • 使用的协议。
    • 端口号和标准。
    HTTP请求 允许 您向URL发送HTTP请求。
    • 要发送HTTP请求的目标URL。
    • 指定所需使用的方法(Get 或 Post)。
    • 添加所需的头信息。
    • 添加所需参数。
    ADManager Plus 操作 禁用用户允许禁用用户账户
    • 块名称。
    • 要执行的操作(此处为禁用用户)。
    • 此块的简要描述,用于在剧本中记录其目的。
    • 要禁用的用户账户的用户名。
    删除用户 允许 您删除用户账户
    • 块名称。
    • 要执行的操作(此处为删除用户)。
    • 此块的简要描述,用于在剧本中记录其目的。
    • 要删除的用户账户的用户名。
    禁用计算机 允许 您禁用计算机账户。
    • 块的名称。
    • 要执行的操作(此处为禁用计算机)。
    • 此块的简要描述,用于在工作流中记录其目的。
    • 要禁用的计算机账户的设备名称。
    重置用户密码 允许 用户重置密码
    • 块的名称。
    • 要执行的操作(此处为重置用户密码)。
    • 此模块的简要描述,用于记录其在操作手册中的用途。
    • 要重置密码的用户账户名称。
    • 所需密码类型:随机生成或自定义。
    将用户添加到组:允许您将用户添加到特定组
    • 块名称。
    • 要执行的操作(此处为将用户添加到组)。
    • 此块的简要描述,用于记录其在操作手册中的用途。
    • 要添加到组中的用户账户的用户名。
    • 要添加用户的组名称。
    从组中移除用户 允许 您将用户从特定组中移除
    • 块的名称。
    • 要执行的操作(此处为从组中移除用户)。
    • 此块的简要说明,用于记录其在操作手册中的用途。
    • 要从组中移除的用户账户用户名。
    • 要移除用户所在的组名称,或移除用户所在的所有可用组。
    启用用户 允许 您启用已禁用的用户账户
    • 块的名称。
    • 要执行的操作(此处为启用用户)。
    • 此块的简要说明,用于记录其在操作手册中的用途。
    • 要启用的用户账户的用户名。
    解锁用户 允许 您解锁被锁定的用户账户
    • 块名称。
    • 要执行的操作(此处为解锁用户)。
    • 逻辑块的简要说明,用于在剧本中记录其目的。
    • 要解锁的用户账户的用户名。
    更新用户 允许 您更新用户的某个属性
    • 块的名称。
    • 要执行的操作(此处为更新用户)。
    • 该模块的简要描述,用于在剧本中记录其目的。
    • 要更新的用户账户的用户名。
    • 用户账户数据中需要更新的属性。
    • 需要更新的属性值。
    删除计算机 允许您删除 计算机账户
    • 块名称。
    • 要执行的操作(此处为删除计算机)。
    • 用于在操作手册中记录该块目的的简要描述。
    • 要删除的计算机账户的设备名称。
    启用计算机 允许 您启用已禁用的计算机账户
    • 块的名称。
    • 要执行的操作(此处为启用计算机)。
    • 此块的简要描述,用于在剧本中记录其目的。
    • 要启用的计算机账户的设备名称。
    端点中心操作 安装补丁 允许 您为检测到的漏洞在特定设备上安装补丁。
    • 块的名称。
    • 目标设备的名称/IP地址(用于安装补丁)。
    • 部署配置的名称。
    • 部署配置说明。
    • 漏洞标识符将从告警条件中提取。
    • 需应用的部署策略。
    批准补丁允许您批准已检测漏洞的补丁。 阻断名称 漏洞标识符将从告警条件中提取。

    另请参阅

    本文档介绍了如何创建包含工作流组件和支持操作的自定义剧本。有关增强安全编排与自动化的相关功能,请参阅: