Программное обеспечение UDV SOAR
Подсистема оркестрации (3.6.1)
Руководство пользователя
Руководство пользователя
Содержание
1.Введение
2.Общие сведения
3.Используемые термины и сокращения
4.Начало работы
4.1.Настройка среды разработки скриптов
4.1.1.Установка Visual Studio Code
4.1.2.Установка линтера
4.2.Авторизация в системе
5.Работа со скриптами
5.1.Создание скриптов
5.2.Написание кода скриптов
5.3.Загрузка файлов скриптов
5.4.Архивы скриптов
5.4.1.Требования к архивам
5.4.2.Загрузка архивов
5.4.3.Использование утилит как архивов скриптов
5.5.Настройка рантаймов
6.Работа с плейбуками
6.1.Создание плейбуков
6.2.Редактирование плейбуков
6.3.Используемые в плейбуках узлы
6.3.1.Узлы типа «Задачи»
6.3.2.Узлы типа «Логика»
6.4.Отладка плейбуков
6.5.Настройка секретов
6.6.Просмотр истории выполнения и логов плейбуков
6.7.Очистка истории выполнения плейбуков
6.8.Работа с запланированными задачами
6.8.1.Создание запланированных задач
6.8.2.Редактирование и удаление запланированных задач
6.8.3.Принудительная остановка задач
6.9.Удаление плейбуков и связанной информации
7.Работа с секретами
7.1.Создание секретов
7.2.Очистка библиотеки секретов
8.Работа с агентами
8.1.Просмотр сведений об агентах
8.2.Работа с функциональными группами
8.2.1.Создание функциональных групп
8.2.2.Настройка и удаление функциональных групп
8.3.Использование агентов
9.Работа с точками доступа
9.1.Создание точек доступа
1.Введение
2.Общие сведения
3.Используемые термины и сокращения
4.Начало работы
4.1.Настройка среды разработки скриптов
4.1.1.Установка Visual Studio Code
4.1.2.Установка линтера
4.2.Авторизация в системе
5.Работа со скриптами
5.1.Создание скриптов
5.2.Написание кода скриптов
5.3.Загрузка файлов скриптов
5.4.Архивы скриптов
5.4.1.Требования к архивам
5.4.2.Загрузка архивов
5.4.3.Использование утилит как архивов скриптов
5.5.Настройка рантаймов
6.Работа с плейбуками
6.1.Создание плейбуков
6.2.Редактирование плейбуков
6.3.Используемые в плейбуках узлы
6.3.1.Узлы типа «Задачи»
6.3.2.Узлы типа «Логика»
6.4.Отладка плейбуков
6.5.Настройка секретов
6.6.Просмотр истории выполнения и логов плейбуков
6.7.Очистка истории выполнения плейбуков
6.8.Работа с запланированными задачами
6.8.1.Создание запланированных задач
6.8.2.Редактирование и удаление запланированных задач
6.8.3.Принудительная остановка задач
6.9.Удаление плейбуков и связанной информации
7.Работа с секретами
7.1.Создание секретов
7.2.Очистка библиотеки секретов
8.Работа с агентами
8.1.Просмотр сведений об агентах
8.2.Работа с функциональными группами
8.2.1.Создание функциональных групп
8.2.2.Настройка и удаление функциональных групп
8.3.Использование агентов
9.Работа с точками доступа
9.1.Создание точек доступа
1. Введение
В руководстве описываются основные функциональные возможности, реализованные концепции и интерфейс подсистемы.
В руководстве описываются основные функциональные возможности, реализованные концепции и интерфейс подсистемы.
2. Общие сведения
Подсистема оркестрации UDV SOAR позволяет:
• управлять скриптами и секретами;
• комбинировать логические конструкции управления потоком задач, вызовы
скриптов безопасности, API-вызовы;
• создавать плейбуки, планировать, отлаживать и отслеживать их исполнение,
использовать их в качестве полностью автоматических или требующих
взаимодействия с операторами сценариев;
• управлять средствами защиты информации (системами SIEM, DLP, UEBA, NGFW, EDR);
• создавать ETL-процессы извлечения, загрузки и преобразования данных;
• взаимодействовать с IT-инфраструктурой, используя интеграции с Active Directory, FreeIPA, Exchange, CommuniGate и др. сервисами.
Функциональность подсистемы представлена на следующих страницах:
1. Мониторинг. По умолчанию стартовая страница, открывающаяся при входе
в подсистему. Здесь пользователи могут отслеживать активность запущенных
плейбуков и получать информацию об истории их выполнения.
2. Календарь. Здесь пользователи могут планировать запуск плейбуков по
расписанию.
3. Плейбуки. Здесь пользователи могут просматривать, создавать, загружать,
настраивать и отлаживать плейбуки.
4. Скрипты. Здесь пользователи могут просматривать, создавать, загружать и
настраивать скрипты.
5. Секреты. Здесь пользователи могут просматривать, создавать, редактировать и удалять секреты.
6. Агенты и точки доступа. Здесь пользователи могут работать с агентами Lambda Executor, функциональными группами и точками доступа.
Подсистема оркестрации UDV SOAR позволяет:
• управлять скриптами и секретами;
• комбинировать логические конструкции управления потоком задач, вызовы
скриптов безопасности, API-вызовы;
• создавать плейбуки, планировать, отлаживать и отслеживать их исполнение,
использовать их в качестве полностью автоматических или требующих
взаимодействия с операторами сценариев;
• управлять средствами защиты информации (системами SIEM, DLP, UEBA, NGFW, EDR);
• создавать ETL-процессы извлечения, загрузки и преобразования данных;
• взаимодействовать с IT-инфраструктурой, используя интеграции с Active Directory, FreeIPA, Exchange, CommuniGate и др. сервисами.
Функциональность подсистемы представлена на следующих страницах:
1. Мониторинг. По умолчанию стартовая страница, открывающаяся при входе
в подсистему. Здесь пользователи могут отслеживать активность запущенных
плейбуков и получать информацию об истории их выполнения.
2. Календарь. Здесь пользователи могут планировать запуск плейбуков по
расписанию.
3. Плейбуки. Здесь пользователи могут просматривать, создавать, загружать,
настраивать и отлаживать плейбуки.
4. Скрипты. Здесь пользователи могут просматривать, создавать, загружать и
настраивать скрипты.
5. Секреты. Здесь пользователи могут просматривать, создавать, редактировать и удалять секреты.
6. Агенты и точки доступа. Здесь пользователи могут работать с агентами Lambda Executor, функциональными группами и точками доступа.
3. Используемые термины и сокращения
АРМ
Автоматизированное рабочее место (рабочая станция, машина, компьютер пользователя).
Задача
Состояние рабочего процесса, которое представляет собой единицу работы (вызов скрипта безопасности, API-вызов и т. д.).
Плейбук
Упорядоченный набор скриптов, предназначенный для автоматизации определенной последовательности действий.
Рантайм
Среда работы (выполнения) скриптов. Предоставляет дополнительные библиотеки и переменные окружения, требуемые для их работы.
Секрет
Конфиденциальные учетные данные, используемые для аутентификации при исполнении плейбуков.
Скрипт
Тело лямбда-функции, написанное на каком-либо языке, требующем интерпретатор (компилятор) для запуска (например, Python).
АРМ
Автоматизированное рабочее место (рабочая станция, машина, компьютер пользователя).
Задача
Состояние рабочего процесса, которое представляет собой единицу работы (вызов скрипта безопасности, API-вызов и т. д.).
Плейбук
Упорядоченный набор скриптов, предназначенный для автоматизации определенной последовательности действий.
Рантайм
Среда работы (выполнения) скриптов. Предоставляет дополнительные библиотеки и переменные окружения, требуемые для их работы.
Секрет
Конфиденциальные учетные данные, используемые для аутентификации при исполнении плейбуков.
Скрипт
Тело лямбда-функции, написанное на каком-либо языке, требующем интерпретатор (компилятор) для запуска (например, Python).
4. Установка и настройка сервисов
4.1. Настройка среды разработки скриптов
В руководстве приводятся примеры разработки скриптов на языке программирования Python, который необходимо установить на компьютер. Последнюю версию установщика можно скачать с официального сайта.
Настройку среды разработки скриптов рассмотрим на примере ПО Visual Studio Code.
4.1. Настройка среды разработки скриптов
В руководстве приводятся примеры разработки скриптов на языке программирования Python, который необходимо установить на компьютер. Последнюю версию установщика можно скачать с официального сайта.
Настройку среды разработки скриптов рассмотрим на примере ПО Visual Studio Code.
4.1.1. Установка Visual Studio Code
1. Скачайте установщик Visual Studio Code с официального сайта, запустите его и выполните стандартную настройку.
2. Выберите вкладку Extensions (Расширения) в основном меню слева или нажмите Ctrl + Shift + X.
3. Скачайте расширение Python, нажав Install (Установить). Его можно найти в раскрывающемся списке Popular (Популярное) или с помощью строки поиска.
4. Выберите вкладку Explorer (Проводник) в основном меню слева или нажмите Ctrl + Shift + E.
5. Выберите папку, в которой будет вестись разработка. Для этого нажмите Open Folder (Открыть папку).
1. Скачайте установщик Visual Studio Code с официального сайта, запустите его и выполните стандартную настройку.
2. Выберите вкладку Extensions (Расширения) в основном меню слева или нажмите Ctrl + Shift + X.
3. Скачайте расширение Python, нажав Install (Установить). Его можно найти в раскрывающемся списке Popular (Популярное) или с помощью строки поиска.
4. Выберите вкладку Explorer (Проводник) в основном меню слева или нажмите Ctrl + Shift + E.
5. Выберите папку, в которой будет вестись разработка. Для этого нажмите Open Folder (Открыть папку).
4.1.2. Установка линтера
После настройки Visual Studio Code установите линтер — утилиту, проверяющую код на единообразие и соответствие стандартам. Чтобы установить линтер в Visual Studio Code:
1. Выберите вкладку Extensions (Расширения) в основном меню слева или нажмите Ctrl + Shift + X.
2. С помощью строки поиска найдите линтер Flake8 и установите его, нажав Install (Установить).
После настройки Visual Studio Code установите линтер — утилиту, проверяющую код на единообразие и соответствие стандартам. Чтобы установить линтер в Visual Studio Code:
1. Выберите вкладку Extensions (Расширения) в основном меню слева или нажмите Ctrl + Shift + X.
2. С помощью строки поиска найдите линтер Flake8 и установите его, нажав Install (Установить).
4.2. Авторизация в системе
Чтобы начать работу с подсистемой оркестрации:
1. Откройте браузер.
2. В адресной строке браузера укажите адрес, по которому расположен экземпляр подсистемы.
3. Введите логин и пароль учетной записи.
4. Нажмите «Войти».
Чтобы начать работу с подсистемой оркестрации:
1. Откройте браузер.
2. В адресной строке браузера укажите адрес, по которому расположен экземпляр подсистемы.
3. Введите логин и пароль учетной записи.
4. Нажмите «Войти».
5. Работа со скриптами
В разделе представлена информация:
• о создании скриптов с нуля;
• о написании кода для скриптов;
• об используемых библиотеках;
• о загрузке скриптов в виде файлов и архивов;
• о настройке рантаймов.
5.1. Создание скриптов
Чтобы создать новый скрипт:
1. Откройте страницу «Скрипты» или «Скрипты → Редактор» и нажмите «Создать скрипт». Откроется окно настроек
2. Укажите название скрипта.
3. Укажите версию скрипта.
4. В раскрывающемся списке «Группа» выберите нужное наименование.
5. В раскрывающемся списке «Платформы» выберите одну или несколько платформ, на которых может использоваться скрипт.
6. В поле «Комментарий» опишите возможности скрипта или укажите другую нужную информацию.
7. В поле «Предварительные требования» перечислите требования скрипта к платформе, на которой его планируется применять. Например, политики аудита, которые нужно настроить.
8. Если для работы скрипта требуются секреты, укажите соответствующие теги.
9. Если у вас есть файл тестов для скрипта, загрузите его.
10. Выберите вкладку «Скрипт».
11. Выберите нужный рантайм
12. В раскрывающемся списке «Локаль» выберите нужный вариант — «Русский» или «Английский».
13. Укажите таймаут выполнения скрипта. Значение по умолчанию — 600 секунд.
14. В пункте «Список пакетов» при необходимости выберите сторонние пакеты или зависимости, используемые в скрипте.
15. Укажите, требуются ли для работы скрипта права администратора или суперпользователя, выбрав «Да» или «Нет» в пункте «Повышенные привилегии».
16. В поле «Пример запуска» при необходимости добавьте пример в нотации JSON. Код должен содержать интерпретатор, наименование файла скрипта, входные данные и секреты.
Например:
В разделе представлена информация:
• о создании скриптов с нуля;
• о написании кода для скриптов;
• об используемых библиотеках;
• о загрузке скриптов в виде файлов и архивов;
• о настройке рантаймов.
5.1. Создание скриптов
Чтобы создать новый скрипт:
1. Откройте страницу «Скрипты» или «Скрипты → Редактор» и нажмите «Создать скрипт». Откроется окно настроек
2. Укажите название скрипта.
3. Укажите версию скрипта.
4. В раскрывающемся списке «Группа» выберите нужное наименование.
5. В раскрывающемся списке «Платформы» выберите одну или несколько платформ, на которых может использоваться скрипт.
6. В поле «Комментарий» опишите возможности скрипта или укажите другую нужную информацию.
7. В поле «Предварительные требования» перечислите требования скрипта к платформе, на которой его планируется применять. Например, политики аудита, которые нужно настроить.
8. Если для работы скрипта требуются секреты, укажите соответствующие теги.
9. Если у вас есть файл тестов для скрипта, загрузите его.
10. Выберите вкладку «Скрипт».
11. Выберите нужный рантайм
12. В раскрывающемся списке «Локаль» выберите нужный вариант — «Русский» или «Английский».
13. Укажите таймаут выполнения скрипта. Значение по умолчанию — 600 секунд.
14. В пункте «Список пакетов» при необходимости выберите сторонние пакеты или зависимости, используемые в скрипте.
15. Укажите, требуются ли для работы скрипта права администратора или суперпользователя, выбрав «Да» или «Нет» в пункте «Повышенные привилегии».
16. В поле «Пример запуска» при необходимости добавьте пример в нотации JSON. Код должен содержать интерпретатор, наименование файла скрипта, входные данные и секреты.
Например:
Здесь:
◦ python — это наименование используемого интерпретатора;
◦ jira_create_task.py — наименование файла скрипта;
◦ jiraTask — объект с передаваемыми входными данными;
◦ secrets — объект с секретами (логином и паролем учетной записи Jira).
17. Выберите вкладку «Вход». На ней указывается справочная информация об атрибутах, которые нужно передать во входных данных скрипта.
18. Чтобы добавить информацию:
a. Нажмите «Добавить атрибут». Откроется окно «Добавление атрибута».
b. Укажите наименование и тип атрибута.
c. В поле «Описание» укажите дополнительные сведения.
d. Нажмите «Применить»
e. Если атрибут является обязательным для работы скрипта, активируйте переключатель «Обязательное поле».
19. Выберите вкладку «Секреты». На ней указывается справочная информациях о секретах, которые нужно передать для работы скрипта.
20. Чтобы добавить информацию:
a. Нажмите «Добавить секрет». Откроется список существующих секретов
b. Установите флажок рядом с нужными секретами.
c. Нажмите «Применить».
d. Чтобы удалить секрет, наведите указатель на нужную строку и нажмите .
21. При заполнении вкладки «Выход» с выходными аргументами скрипта используйте инструкции для вкладки «Вход».
22. Нажмите «Создать». Откроется редактор скриптов, в котором можно самостоятельно набрать нужный код.
◦ python — это наименование используемого интерпретатора;
◦ jira_create_task.py — наименование файла скрипта;
◦ jiraTask — объект с передаваемыми входными данными;
◦ secrets — объект с секретами (логином и паролем учетной записи Jira).
17. Выберите вкладку «Вход». На ней указывается справочная информация об атрибутах, которые нужно передать во входных данных скрипта.
18. Чтобы добавить информацию:
a. Нажмите «Добавить атрибут». Откроется окно «Добавление атрибута».
b. Укажите наименование и тип атрибута.
c. В поле «Описание» укажите дополнительные сведения.
d. Нажмите «Применить»
e. Если атрибут является обязательным для работы скрипта, активируйте переключатель «Обязательное поле».
19. Выберите вкладку «Секреты». На ней указывается справочная информациях о секретах, которые нужно передать для работы скрипта.
20. Чтобы добавить информацию:
a. Нажмите «Добавить секрет». Откроется список существующих секретов
b. Установите флажок рядом с нужными секретами.
c. Нажмите «Применить».
d. Чтобы удалить секрет, наведите указатель на нужную строку и нажмите .
21. При заполнении вкладки «Выход» с выходными аргументами скрипта используйте инструкции для вкладки «Вход».
22. Нажмите «Создать». Откроется редактор скриптов, в котором можно самостоятельно набрать нужный код.
5.2. Написание кода скриптов
Если создать и сохранить новый скрипт или выбрать существующий из списка на странице «Скрипты», откроется встроенный редактор. На странице есть поле для редактирования кода с подсветкой синтаксиса и управляющими элементами. Название открытого скрипта показывается вверху посередине.
Подсистема хранит в памяти последний открытый скрипт. Если пользователь редактировал код, а затем временно переключился на другие задачи, то при возвращении в редактор он сможет продолжить работу с того же места.
В верхней части страницы представлены следующие управляющие элементы:
Если создать и сохранить новый скрипт или выбрать существующий из списка на странице «Скрипты», откроется встроенный редактор. На странице есть поле для редактирования кода с подсветкой синтаксиса и управляющими элементами. Название открытого скрипта показывается вверху посередине.
Подсистема хранит в памяти последний открытый скрипт. Если пользователь редактировал код, а затем временно переключился на другие задачи, то при возвращении в редактор он сможет продолжить работу с того же места.
В верхней части страницы представлены следующие управляющие элементы:
* Для правильной работы кнопки «Вставить строку» могут потребоваться дополнительные действия с настройками браузера.
5.3. Загрузка файлов скриптов
Чтобы загрузить готовый скрипт в виде файла, на странице «Скрипты» выберите «Загрузить файл» → «Файл скрипта» или откройте редактор скриптов и выберите вариант «Загрузить файл».
Выбрав файл, в открывшемся окне «Загрузка скрипта» укажите нужные сведения, как это описано в разделе Создание скриптов.
Чтобы загрузить готовый скрипт в виде файла, на странице «Скрипты» выберите «Загрузить файл» → «Файл скрипта» или откройте редактор скриптов и выберите вариант «Загрузить файл».
Выбрав файл, в открывшемся окне «Загрузка скрипта» укажите нужные сведения, как это описано в разделе Создание скриптов.
5.4. Архивы скриптов
Подсистема оркестрации UDV SOAR позволяет загружать и использовать архивы скриптов. Это может потребоваться:
• для запуска несистемных утилит;
• для сложных сценариев, в которых помимо основного скрипта необходимо последовательно использовать скрипты инициализации и очистки — например, создать виртуальное окружение venv, доставить в него нужные внешние библиотеки и модули, запустить Python-скрипт, а затем удалить все следы этой активности.
Эта функциональность расширяет возможности по расследованию утечек данных, поиску следов злоумышленников в инфраструктуре компании и т. п.
Подсистема оркестрации UDV SOAR позволяет загружать и использовать архивы скриптов. Это может потребоваться:
• для запуска несистемных утилит;
• для сложных сценариев, в которых помимо основного скрипта необходимо последовательно использовать скрипты инициализации и очистки — например, создать виртуальное окружение venv, доставить в него нужные внешние библиотеки и модули, запустить Python-скрипт, а затем удалить все следы этой активности.
Эта функциональность расширяет возможности по расследованию утечек данных, поиску следов злоумышленников в инфраструктуре компании и т. п.
5.4.1. Требования к архивам
Для корректной работы архивов скриптов должны соблюдаться следующие условия:
• Поддерживаемые типы файлов: ZIP, TAR, BZ2 (или TAR.BZ2), GZ (или TAR.GZ).
• Состав — архивы могут включать:
◦ скрипт инициализации с названием constructor.{extension} — необязательный элемент;
◦ скрипт очистки с названием destructor.{extension} — необязательный элемент;
◦ основной скрипт с названием execute.{extension} — обязательный элемент;
◦ дополнительные скрипты и/или утилиты, исполняемые файлы.
Для корректной работы архивов скриптов должны соблюдаться следующие условия:
• Поддерживаемые типы файлов: ZIP, TAR, BZ2 (или TAR.BZ2), GZ (или TAR.GZ).
• Состав — архивы могут включать:
◦ скрипт инициализации с названием constructor.{extension} — необязательный элемент;
◦ скрипт очистки с названием destructor.{extension} — необязательный элемент;
◦ основной скрипт с названием execute.{extension} — обязательный элемент;
◦ дополнительные скрипты и/или утилиты, исполняемые файлы.
5.4.2. Загрузка архивов
Чтобы загрузить архив скриптов:
1. На странице «Скрипты» выберите «Загрузить файл» → «Архив скриптов» или откройте редактор скриптов и нажмите «Загрузить архив».
2. В появившемся окне выберите нужный архив.
3. В окне «Загрузка скрипта» укажите нужные сведения, как это описано в разделе Создание скриптов и нажмите «Создать».
Чтобы загрузить архив скриптов:
1. На странице «Скрипты» выберите «Загрузить файл» → «Архив скриптов» или откройте редактор скриптов и нажмите «Загрузить архив».
2. В появившемся окне выберите нужный архив.
3. В окне «Загрузка скрипта» укажите нужные сведения, как это описано в разделе Создание скриптов и нажмите «Создать».
5.4.3. Использование утилит как архивов скриптов
Архивы скриптов можно использовать для удаленного запуска утилит на рабочих станциях или серверах.
Чтобы использовать утилиту таким образом, подготовьте архив одного из разрешенных типов. Архив должен включать:
• основной скрипт с названием execute.{extension};
• исполняемые файлы, необходимые для работы.
Загруженные архивы появляются на странице «Скрипты». Далее их можно использовать наравне с обычными скриптами и добавлять в состав плейбуков с помощью узла Скрипт.
Стандартный набор включает следующие несистемные утилиты:
1. DriveLetterView (NirSoft) — передает список всех дисков, подключенных на АРМ.
2. Task Scheduler View (NirSoft) — передает список всех задач в планировщике АРМ.
3. UninstallView (NirSoft) — передает список установленного на АРМ программного обеспечения.
4. USBDeview (NirSoft) — передает список USB-устройств, подключенных сейчас и подключавшихся ранее к АРМ.
5. UserProfilesView (NirSoft) — передает список всех пользователей АРМ.
6. WinLogOnView (NirSoft) — передает список всех входов и выходов пользователей в систему на АРМ.
Чтобы использовать утилиту в подсистеме оркестрации:
1. Создайте новый плейбук.
2. Укажите его название в окне «Метаданные плейбука».
3. Поместите в схему узел Скрипт.
4. В окне настроек узла рядом с полем «Скрипт» нажмите и выберите из списка загруженный архив с утилитой.
5. Укажите необходимые данные и нажмите «Применить».
6. В верхней правой части редактора плейбуков нажмите , чтобы сохранить плейбук.
7. Чтобы проверить работу плейбука, воспользуйтесь отладчиком.
При успешном выполнении плейбуков с перечисленными утилитами в результат работы выгружаются данные с разделителями-запятыми. Вы можете скопировать информацию и использовать ее для дальнейшей работы.
Архивы скриптов можно использовать для удаленного запуска утилит на рабочих станциях или серверах.
Чтобы использовать утилиту таким образом, подготовьте архив одного из разрешенных типов. Архив должен включать:
• основной скрипт с названием execute.{extension};
• исполняемые файлы, необходимые для работы.
Загруженные архивы появляются на странице «Скрипты». Далее их можно использовать наравне с обычными скриптами и добавлять в состав плейбуков с помощью узла Скрипт.
Стандартный набор включает следующие несистемные утилиты:
1. DriveLetterView (NirSoft) — передает список всех дисков, подключенных на АРМ.
2. Task Scheduler View (NirSoft) — передает список всех задач в планировщике АРМ.
3. UninstallView (NirSoft) — передает список установленного на АРМ программного обеспечения.
4. USBDeview (NirSoft) — передает список USB-устройств, подключенных сейчас и подключавшихся ранее к АРМ.
5. UserProfilesView (NirSoft) — передает список всех пользователей АРМ.
6. WinLogOnView (NirSoft) — передает список всех входов и выходов пользователей в систему на АРМ.
Чтобы использовать утилиту в подсистеме оркестрации:
1. Создайте новый плейбук.
2. Укажите его название в окне «Метаданные плейбука».
3. Поместите в схему узел Скрипт.
4. В окне настроек узла рядом с полем «Скрипт» нажмите и выберите из списка загруженный архив с утилитой.
5. Укажите необходимые данные и нажмите «Применить».
6. В верхней правой части редактора плейбуков нажмите , чтобы сохранить плейбук.
7. Чтобы проверить работу плейбука, воспользуйтесь отладчиком.
При успешном выполнении плейбуков с перечисленными утилитами в результат работы выгружаются данные с разделителями-запятыми. Вы можете скопировать информацию и использовать ее для дальнейшей работы.
5.5. Настройка рантаймов
Возможность доступна только пользователям с ролью «Администратор».
Администраторы подсистемы могут создавать, редактировать и удалять рантаймы, использующиеся в подсистеме.
1. Откройте страницу «Скрипты».
2. Нажмите «Рантаймы».
3. В открывшемся окне нажмите «Добавить рантайм».
4. Укажите наименование рантайма и используемые расширения, а также типы объектов.
5. Нажмите «Создать».
6. Чтобы изменить настройки рантайма, нажмите "настройки рантайма" . Чтобы удалить рантайм, нажмите "удалить рантайм"
Возможность доступна только пользователям с ролью «Администратор».
Администраторы подсистемы могут создавать, редактировать и удалять рантаймы, использующиеся в подсистеме.
1. Откройте страницу «Скрипты».
2. Нажмите «Рантаймы».
3. В открывшемся окне нажмите «Добавить рантайм».
4. Укажите наименование рантайма и используемые расширения, а также типы объектов.
5. Нажмите «Создать».
6. Чтобы изменить настройки рантайма, нажмите "настройки рантайма" . Чтобы удалить рантайм, нажмите "удалить рантайм"
6. Работа с плейбуками
В разделе представлена информация:
• о создании плейбуков;
• о типах и работе узлов, используемых в плейбуках;
• об отладке и просмотре логов плейбуков;
• о просмотре кода плейбуков в нотации Amazon States Language;
• о создании, редактировании и удалении задач (запланированных запусков плейбуков).
В разделе представлена информация:
• о создании плейбуков;
• о типах и работе узлов, используемых в плейбуках;
• об отладке и просмотре логов плейбуков;
• о просмотре кода плейбуков в нотации Amazon States Language;
• о создании, редактировании и удалении задач (запланированных запусков плейбуков).
6.1. Создание плейбуков
Чтобы создать новый плейбук:
1. Откройте страницу «Плейбуки» или «Плейбуки → Редактор» и нажмите «Создать плейбук». Откроются редактор плейбуков и окно настроек.
2. Укажите название плейбука.
3. При необходимости добавьте комментарий — например, кратко опишите назначение плейбука или укажите другую информацию. Комментарий будет отображаться рядом со схемой плейбука в режиме «Витрина».
4. Укажите версию плейбука.
5. Укажите таймаут выполнения плейбука.
6. Если для работы плейбука требуются секреты, укажите соответствующие теги.
7. В раскрывающемся списке «Группа» выберите нужное наименование.
8. Выберите вкладку «Вход».
9. При необходимости добавьте в окно «Параметры» входные данные в нотации JSON.
10. Нажмите «Применить». Окно настроек закроется. Созданный плейбук останется открытым в редакторе, где можно самостоятельно его настроить.
Чтобы создать новый плейбук:
1. Откройте страницу «Плейбуки» или «Плейбуки → Редактор» и нажмите «Создать плейбук». Откроются редактор плейбуков и окно настроек.
2. Укажите название плейбука.
3. При необходимости добавьте комментарий — например, кратко опишите назначение плейбука или укажите другую информацию. Комментарий будет отображаться рядом со схемой плейбука в режиме «Витрина».
4. Укажите версию плейбука.
5. Укажите таймаут выполнения плейбука.
6. Если для работы плейбука требуются секреты, укажите соответствующие теги.
7. В раскрывающемся списке «Группа» выберите нужное наименование.
8. Выберите вкладку «Вход».
9. При необходимости добавьте в окно «Параметры» входные данные в нотации JSON.
10. Нажмите «Применить». Окно настроек закроется. Созданный плейбук останется открытым в редакторе, где можно самостоятельно его настроить.
6.2. Редактирование плейбуков
Если создать и сохранить новый плейбук или выбрать существующий из списка на странице «Плейбуки», откроется встроенный редактор. На странице есть рабочая зона с управляющими элементами. Название открытого плейбука показывается вверху посередине.
Подсистема хранит в памяти последний открытый плейбук. Если пользователь редактировал его, а затем временно переключился на другие задачи, то при возвращении в редактор он сможет продолжить работу с того же места.
В верхней части страницы представлены следующие управляющие элементы:
Если создать и сохранить новый плейбук или выбрать существующий из списка на странице «Плейбуки», откроется встроенный редактор. На странице есть рабочая зона с управляющими элементами. Название открытого плейбука показывается вверху посередине.
Подсистема хранит в памяти последний открытый плейбук. Если пользователь редактировал его, а затем временно переключился на другие задачи, то при возвращении в редактор он сможет продолжить работу с того же места.
В верхней части страницы представлены следующие управляющие элементы:
Если перейти в редактор без сохраненного в памяти плейбука, вместо окна с текстом на странице появятся кнопки, позволяющие создавать новые плейбуки, а также выбирать их из списка существующих. Управляющие элементы редактора в верхней части страницы и раскрывающееся боковое меню при этом будут неактивными (кроме кнопки создания нового плейбука).
Редактор — это визуальный инструмент для создания и редактирования плейбуков, однако внутри они представляют собой файлы в формате JSON, который соответствует нотации Amazon States Language. Взаимодействие между узлами плейбуков осуществляется через передачу JSON-объектов с помощью стандартных потоков ввода и вывода — stdin и stdout. JSON-объект (input) передается в скрипт первым аргументом, а контекстный объект (содержащий в том числе секреты) — вторым.
В редакторе предусмотрен режим «Код», который позволяет просматривать (но не редактировать) код плейбуков в форматах JSON и YAML и проверять его на ошибки. Чтобы перейти в этот режим, нажмите «Код» в правой верхней части редактора.
Редактор — это визуальный инструмент для создания и редактирования плейбуков, однако внутри они представляют собой файлы в формате JSON, который соответствует нотации Amazon States Language. Взаимодействие между узлами плейбуков осуществляется через передачу JSON-объектов с помощью стандартных потоков ввода и вывода — stdin и stdout. JSON-объект (input) передается в скрипт первым аргументом, а контекстный объект (содержащий в том числе секреты) — вторым.
В редакторе предусмотрен режим «Код», который позволяет просматривать (но не редактировать) код плейбуков в форматах JSON и YAML и проверять его на ошибки. Чтобы перейти в этот режим, нажмите «Код» в правой верхней части редактора.
6.3. Используемые в плейбуках узлы
Плейбуки в подсистеме оркестрации UDV SOAR составляются из узлов двух типов: Задачи и Логика, которе расположены на соответствующих вкладках в раскрывающемся меню редактора.
Чтобы добавить узел в плейбук:
• перетащите его из меню в необходимое место в схеме; или
• нажмите на требуемый узел в меню — он автоматически расположится в схеме после выбранного в данный момент узла.
В данном подразделе описывается, как различные узлы добавляются в плейбуки и используются в них.
Плейбуки в подсистеме оркестрации UDV SOAR составляются из узлов двух типов: Задачи и Логика, которе расположены на соответствующих вкладках в раскрывающемся меню редактора.
Чтобы добавить узел в плейбук:
• перетащите его из меню в необходимое место в схеме; или
• нажмите на требуемый узел в меню — он автоматически расположится в схеме после выбранного в данный момент узла.
В данном подразделе описывается, как различные узлы добавляются в плейбуки и используются в них.
6.3.1. Узлы типа «Задачи»
Узлы представляют собой выполняемые функции или действия.
К ним относятся:
• Скрипт
• Плейбук
• Задание
• Email
• Сообщение
• Подозрение/Инцидент
Узлы представляют собой выполняемые функции или действия.
К ним относятся:
• Скрипт
• Плейбук
• Задание
• Сообщение
• Подозрение/Инцидент
6.3.1.1. Скрипт
Скрипты предназначены для вызова или запуска функций (действий), а также вызова API. С помощью данного узла можно выполнять различные задачи, например настраивать интеграции со сторонними системами.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Скрипт» в схему. Откроется окно настройки.
2. Присвойте узлу название.
3.Чтобы выбрать скрипт, нажмите .
4.Выберите нужный скрипт из списка. Откроется окно настройки. В поле «Скрипт» добавится выбранное наименование.
5.В поле «Скрипт» после выбранного скрипта добавьте двоеточие и наименование нужного агента Lambda Executor или их группы.
6.При необходимости нажмите , чтобы изменить скрипт в редакторе.
7.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
8.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
9.Нажмите «Применить».
Скрипты предназначены для вызова или запуска функций (действий), а также вызова API. С помощью данного узла можно выполнять различные задачи, например настраивать интеграции со сторонними системами.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Скрипт» в схему. Откроется окно настройки.
2. Присвойте узлу название.
3.Чтобы выбрать скрипт, нажмите .
4.Выберите нужный скрипт из списка. Откроется окно настройки. В поле «Скрипт» добавится выбранное наименование.
5.В поле «Скрипт» после выбранного скрипта добавьте двоеточие и наименование нужного агента Lambda Executor или их группы.
6.При необходимости нажмите , чтобы изменить скрипт в редакторе.
7.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
8.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
9.Нажмите «Применить».
6.3.1.2. Плейбук
С помощью узла «Плейбук» можно встроить в схему существующий плейбук.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Плейбук» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Нажмите рядом с полем «Плейбук».
4.Выберите нужный плейбук из списка. Откроется окно настройки. В поле «Плейбук» добавится выбранное наименование.
5.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
6.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
7.Нажмите «Применить».
С помощью узла «Плейбук» можно встроить в схему существующий плейбук.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Плейбук» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Нажмите рядом с полем «Плейбук».
4.Выберите нужный плейбук из списка. Откроется окно настройки. В поле «Плейбук» добавится выбранное наименование.
5.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
6.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
7.Нажмите «Применить».
6.3.1.3. Задание
С помощью узла «Задание» можно назначать задачи на пользователей, роли или группы пользователей.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Задание» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Укажите информацию о задании:
◦описание;
◦автора;
◦тип и имя исполнителя;
◦приоритет;
◦дату и время, до которых его необходимо выполнить.
4.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
5.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
6.Нажмите «Применить».
С помощью узла «Задание» можно назначать задачи на пользователей, роли или группы пользователей.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Задание» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Укажите информацию о задании:
◦описание;
◦автора;
◦тип и имя исполнителя;
◦приоритет;
◦дату и время, до которых его необходимо выполнить.
4.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
5.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
6.Нажмите «Применить».
6.3.1.4. Email
С помощью узла «Email» можно настраивать отправку информационных сообщений по электронной почте одному или нескольким получателям.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Email» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Укажите информацию о письме:
◦тип и имя получателя;
◦получателя копии и дополнительного получателя;
◦тему и текст.
4.Если у вас есть вложение для письма, выберите и загрузите его.
5.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
6.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
7.Нажмите «Применить».
С помощью узла «Email» можно настраивать отправку информационных сообщений по электронной почте одному или нескольким получателям.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Email» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Укажите информацию о письме:
◦тип и имя получателя;
◦получателя копии и дополнительного получателя;
◦тему и текст.
4.Если у вас есть вложение для письма, выберите и загрузите его.
5.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
6.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
7.Нажмите «Применить».
6.3.1.5. Сообщение
С помощью узла «Сообщение» можно отправлять информационные сообщения или уведомления пользователям подсистемы.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Сообщение» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Укажите информацию о сообщении:
◦тип и имя получателя;
◦текст;
◦стиль.
4.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
5.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
6.Нажмите «Применить».
С помощью узла «Сообщение» можно отправлять информационные сообщения или уведомления пользователям подсистемы.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Сообщение» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Укажите информацию о сообщении:
◦тип и имя получателя;
◦текст;
◦стиль.
4.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
5.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
6.Нажмите «Применить».
6.3.1.6. Подозрение/Инцидент
С помощью узла «Подозрение/Инцидент» можно создавать и редактировать события и инциденты. В частности, это требуется для взаимодействия с подсистемой реагирования на инциденты информационной безопасности.
Чтобы использовать узел в плейбуке:
1.Поместите узел «Подозрение/Инцидент» в схему. Откроется окно настройки.
2.Укажите дату и время обнаружения подозрения или инцидента.
3.Опишите, что произошло.
4.Укажите тип подозрения или инцидента.
5.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
6.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
7.Нажмите «Применить».
С помощью узла «Подозрение/Инцидент» можно создавать и редактировать события и инциденты. В частности, это требуется для взаимодействия с подсистемой реагирования на инциденты информационной безопасности.
Чтобы использовать узел в плейбуке:
1.Поместите узел «Подозрение/Инцидент» в схему. Откроется окно настройки.
2.Укажите дату и время обнаружения подозрения или инцидента.
3.Опишите, что произошло.
4.Укажите тип подозрения или инцидента.
5.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
6.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
7.Нажмите «Применить».
6.3.2. Узлы типа «Логика»
Узлы позволяют передавать управление и контролировать логику работы плейбука.
К ним относятся:
•Выполнение по условию
•Параллельное выполнение
•Цикличное выполнение
•Передача
•Ожидание
•Завершение
•Завершение с ошибкой
Узлы позволяют передавать управление и контролировать логику работы плейбука.
К ним относятся:
•Выполнение по условию
•Параллельное выполнение
•Цикличное выполнение
•Передача
•Ожидание
•Завершение
•Завершение с ошибкой
6.3.2.1. Выполнение по условию
С помощью узла «Выполнение по условию» можно настраивать схемы с применением логики if-then-else.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Выполнение по условию» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.В открывшемся окне нажмите «Добавить условие» и настройте параметры.
4.Настройте нужные параметры и нажмите «Сохранить».
5.В раскрывающемся списке выберите, узел какого типа будет следующим при невыполнении условий.
6.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
7.Нажмите «Применить».
С помощью узла «Выполнение по условию» можно настраивать схемы с применением логики if-then-else.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Выполнение по условию» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.В открывшемся окне нажмите «Добавить условие» и настройте параметры.
4.Настройте нужные параметры и нажмите «Сохранить».
5.В раскрывающемся списке выберите, узел какого типа будет следующим при невыполнении условий.
6.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
7.Нажмите «Применить».
6.3.2.2. Параллельное выполнение
С помощью узла «Параллельное выполнение» можно настраивать одновременное выполнение двух и более активностей.
Узел обладает следующими особенностями:
1.На вход каждой из веток плейбука приходит один и тот же объект.
2.Переход на следующий за параллельным выполнением шаг осуществляется только после завершения всех веток.
3.На следующий шаг переходит не один объект, а массив объектов в том порядке, который задан в плейбуке.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Параллельное выполнение» в схему. Откроется окно настройки.
2.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
3.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
4.Нажмите «Применить».
С помощью узла «Параллельное выполнение» можно настраивать одновременное выполнение двух и более активностей.
Узел обладает следующими особенностями:
1.На вход каждой из веток плейбука приходит один и тот же объект.
2.Переход на следующий за параллельным выполнением шаг осуществляется только после завершения всех веток.
3.На следующий шаг переходит не один объект, а массив объектов в том порядке, который задан в плейбуке.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Параллельное выполнение» в схему. Откроется окно настройки.
2.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
3.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
4.Нажмите «Применить».
6.3.2.3. Цикличное выполнение
С помощью узла «Цикличное выполнение» можно неоднократно выполнять однотипные действия.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Цикличное выполнение» в схему. Откроется окно настройки.
2.Укажите значения для полей «Итерируемый массив» и «Макс. количество потоков».
3.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
4.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
5.Нажмите «Применить».
С помощью узла «Цикличное выполнение» можно неоднократно выполнять однотипные действия.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Цикличное выполнение» в схему. Откроется окно настройки.
2.Укажите значения для полей «Итерируемый массив» и «Макс. количество потоков».
3.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
4.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
5.Нажмите «Применить».
6.3.2.4. Передача
С помощью узла «Передача» можно добавлять в схему «заглушку» для передачи данных или преобразовывать данные нужным образом.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Передача» в схему. Откроется окно настройки.
2.При необходимости заполните поле «Результат».
3.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
4.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
5.Нажмите «Применить».
С помощью узла «Передача» можно добавлять в схему «заглушку» для передачи данных или преобразовывать данные нужным образом.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Передача» в схему. Откроется окно настройки.
2.При необходимости заполните поле «Результат».
3.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
4.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
5.Нажмите «Применить».
6.3.2.5. Ожидание
С помощью узла «Ожидание» можно откладывать действия на заданный промежуток времени.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Ожидание» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.В раскрывающемся списке выберите тип ожидания:
◦«Секунды» — далее потребуется указать время ожидания в секундах;
◦«Дата, время» — далее потребуется указать конечный срок выполнения действия в формате ISO-8601;
◦«JsonPath: секунды» — далее потребуется указать путь, который при разрешении должен выбрать поле, значение которого является положительным целым числом, соответствующим времени ожидания в секундах;
◦«JsonPath: дата, время» — далее потребуется указать путь, который при разрешении должен выбрать поле, значение которого является строкой формата даты и времени в соответствии с ISO-8601.
4.В зависимости от выбранного в предыдущем пункте типа заполните следующее поле.
5.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
6.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
7.Нажмите «Применить».
С помощью узла «Ожидание» можно откладывать действия на заданный промежуток времени.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Ожидание» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.В раскрывающемся списке выберите тип ожидания:
◦«Секунды» — далее потребуется указать время ожидания в секундах;
◦«Дата, время» — далее потребуется указать конечный срок выполнения действия в формате ISO-8601;
◦«JsonPath: секунды» — далее потребуется указать путь, который при разрешении должен выбрать поле, значение которого является положительным целым числом, соответствующим времени ожидания в секундах;
◦«JsonPath: дата, время» — далее потребуется указать путь, который при разрешении должен выбрать поле, значение которого является строкой формата даты и времени в соответствии с ISO-8601.
4.В зависимости от выбранного в предыдущем пункте типа заполните следующее поле.
5.В раскрывающемся списке выберите, узел какого типа будет выполняться следующим.
6.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
7.Нажмите «Применить».
6.3.2.6. Завершение
С помощью узла «Завершение» можно останавливать выполнение плейбуков.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Завершение» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
4.Нажмите «Применить».
С помощью узла «Завершение» можно останавливать выполнение плейбуков.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Завершение» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
4.Нажмите «Применить».
6.3.2.7. Завершение с ошибкой
С помощью узла «Завершение с ошибкой» можно останавливать выполнение плейбуков с указанием ошибок.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Завершение с ошибкой» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Укажите код ошибки и сообщение, которые будут показываться пользователям при выполнении узла.
4.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
5.Нажмите «Применить».
С помощью узла «Завершение с ошибкой» можно останавливать выполнение плейбуков с указанием ошибок.
Чтобы использовать узел в плейбуке:
1.Добавьте узел «Завершение с ошибкой» в схему. Откроется окно настройки.
2.Присвойте узлу название.
3.Укажите код ошибки и сообщение, которые будут показываться пользователям при выполнении узла.
4.Укажите комментарий, который будет показываться на схеме при наведении указателя на данный узел.
5.Нажмите «Применить».
6.4. Отладка плейбуков
Отладчик плейбуков позволяет исполнять и тестировать созданные плейбуки, а также выявлять ошибки.
Чтобы вызвать отладчик плейбуков:
1.Перейдите на страницу «Плейбуки» через основное меню слева.
2.Выберите нужный плейбук.
3.Нажмите в правом верхнем углу.
Откроется страница отладки плейбуков.
4.Введите стартовые параметры.
5.В раскрывающемся списке выберите, с использованием каких агентов или функциональных групп будет выполняться плейбук. Если этого не сделать, плейбук будет выполнен на любом доступном агенте.
6.Чтобы проверить работу плейбука, нажмите «Запустить».
a.При успешном завершении плейбука появится всплывающее окно «Успешно» с результатами работы.
b.При неудачном завершении плейбука появится всплывающее окно с описанием ошибки.
c.Запись о запуске плейбука добавится в панель «История» в левой части страницы. Нажмите, чтобы просмотреть логи, а также входные и выходные данные.
Отладчик плейбуков позволяет исполнять и тестировать созданные плейбуки, а также выявлять ошибки.
Чтобы вызвать отладчик плейбуков:
1.Перейдите на страницу «Плейбуки» через основное меню слева.
2.Выберите нужный плейбук.
3.Нажмите в правом верхнем углу.
Откроется страница отладки плейбуков.
4.Введите стартовые параметры.
5.В раскрывающемся списке выберите, с использованием каких агентов или функциональных групп будет выполняться плейбук. Если этого не сделать, плейбук будет выполнен на любом доступном агенте.
6.Чтобы проверить работу плейбука, нажмите «Запустить».
a.При успешном завершении плейбука появится всплывающее окно «Успешно» с результатами работы.
b.При неудачном завершении плейбука появится всплывающее окно с описанием ошибки.
c.Запись о запуске плейбука добавится в панель «История» в левой части страницы. Нажмите, чтобы просмотреть логи, а также входные и выходные данные.
6.5. Настройка секретов
Чтобы настроить секреты:
1.Откройте список плейбуков.
2.Наведите указатель на значок рядом с нужным наименованием, чтобы открыть контекстное меню.
3.Нажмите «Изменить секреты». Откроется список секретов плейбука.
4.Отредактируйте список секретов нужным образом.
Чтобы настроить секреты:
1.Откройте список плейбуков.
2.Наведите указатель на значок рядом с нужным наименованием, чтобы открыть контекстное меню.
3.Нажмите «Изменить секреты». Откроется список секретов плейбука.
4.Отредактируйте список секретов нужным образом.
6.6. Просмотр истории выполнения и логов плейбуков
Пользователям доступна история выполнения ранее использовавшихся плейбуков и их логи.
Чтобы открыть историю выполнения:
1.Откройте страницу «Плейбуки».
2.Наведите указатель на значок рядом с нужным плейбуком, чтобы открыть контекстное меню.
3.Нажмите «История выполнения».
В результате откроется страница Мониторинг. История.
Если плейбук ранее не запускался, страница будет пустой.
Если плейбук ранее запускался, страница будет содержать сведения о запусках.
Чтобы открыть логи, нажмите справа от плейбука.
Откроется окно «Параметры выполнения плейбука».
На вкладке «Лог» можно узнать наименования узлов, задействованных в плейбуке, а также дату и время их запуска и остановки.
На вкладке «Вход/Выход» можно узнать идентификатор запуска плейбука, список используемых секретов (если для плейбука назначены теги), а также входные и выходные данные.
Пользователям доступна история выполнения ранее использовавшихся плейбуков и их логи.
Чтобы открыть историю выполнения:
1.Откройте страницу «Плейбуки».
2.Наведите указатель на значок рядом с нужным плейбуком, чтобы открыть контекстное меню.
3.Нажмите «История выполнения».
В результате откроется страница Мониторинг. История.
Если плейбук ранее не запускался, страница будет пустой.
Если плейбук ранее запускался, страница будет содержать сведения о запусках.
Чтобы открыть логи, нажмите справа от плейбука.
Откроется окно «Параметры выполнения плейбука».
На вкладке «Лог» можно узнать наименования узлов, задействованных в плейбуке, а также дату и время их запуска и остановки.
На вкладке «Вход/Выход» можно узнать идентификатор запуска плейбука, список используемых секретов (если для плейбука назначены теги), а также входные и выходные данные.
6.7. Очистка истории выполнения плейбуков
Возможность доступна только пользователям с ролью «Администратор».
Чтобы очистить историю выполнения всех плейбуков:
1.Откройте страницу «Мониторинг».
2.Нажмите «Очистка».
3.В открывшемся окне укажите период, за который требуется удалить историю.
4.Нажмите «Очистить».
Возможность доступна только пользователям с ролью «Администратор».
Чтобы очистить историю выполнения всех плейбуков:
1.Откройте страницу «Мониторинг».
2.Нажмите «Очистка».
3.В открывшемся окне укажите период, за который требуется удалить историю.
4.Нажмите «Очистить».
6.8. Работа с запланированными задачами
Пользователь может планировать запуск плейбуков на странице «Календарь».
6.8.1. Создание запланированных задач
Чтобы запланировать запуск плейбука:
1.Нажмите «Создать задачу».
Откроется окно настроек.
2.В раскрывающемся списке «Плейбук для запуска» выберите нужный плейбук.
3.В пункте «Дата и время начала» укажите, когда требуется запустить плейбук.
4.При необходимости установите флажок «Повторять выполнение».
Появится раскрывающийся список «Тип повторения» со следующими вариантами: «По минутам», «По часам», «По минутам в интервале», «По часам в интервале», «Ежедневно», «Еженедельно», «Ежемесячно», «Ежегодно». Выберите подходящий тип и заполните дополнительные поля.
5.На вкладке «Вход» добавьте входные данные для работы выбранного плейбука.
6.Нажмите «Создать».
Пользователь может планировать запуск плейбуков на странице «Календарь».
6.8.1. Создание запланированных задач
Чтобы запланировать запуск плейбука:
1.Нажмите «Создать задачу».
Откроется окно настроек.
2.В раскрывающемся списке «Плейбук для запуска» выберите нужный плейбук.
3.В пункте «Дата и время начала» укажите, когда требуется запустить плейбук.
4.При необходимости установите флажок «Повторять выполнение».
Появится раскрывающийся список «Тип повторения» со следующими вариантами: «По минутам», «По часам», «По минутам в интервале», «По часам в интервале», «Ежедневно», «Еженедельно», «Ежемесячно», «Ежегодно». Выберите подходящий тип и заполните дополнительные поля.
5.На вкладке «Вход» добавьте входные данные для работы выбранного плейбука.
6.Нажмите «Создать».
6.8.2. Редактирование и удаление запланированных задач
Чтобы изменить запланированную задачу:
1.В календаре дважды нажмите на нужную запланированную задачу.
Откроется окно «Редактирование задачи».
2.Измените нужные параметры на вкладке «Главное» и (при необходимости) входные данные на вкладке «Вход».
3.Чтобы удалить запланированную задачу, нажмите.
Чтобы изменить запланированную задачу:
1.В календаре дважды нажмите на нужную запланированную задачу.
Откроется окно «Редактирование задачи».
2.Измените нужные параметры на вкладке «Главное» и (при необходимости) входные данные на вкладке «Вход».
3.Чтобы удалить запланированную задачу, нажмите.
6.8.3. Принудительная остановка задач
Пользователи с ролью «Администратор» могут останавливать выполнение всех доступных незавершенных задач.
Для этого:
1.Откройте страницу «Календарь».
2.Нажмите «Завершить все задачи».
3.В открывшемся окне подтвердите действие, нажав «Да».
Пользователи без прав администратора могут останавливать выполнение любых запланированных задач в расписании.
Для этого:
1.Откройте страницу «Календарь».
2.Рядом с нужной задачей нажмите . Откроется окно с предупреждением «Вы действительно хотите принудительно завершить задачу название задачи в расписании?».
3.Нажмите «Да», чтобы подтвердить действие.
Остановленным задачам назначается статус «Прервано». Их можно удалить из расписания.
Пользователи с ролью «Администратор» могут останавливать выполнение всех доступных незавершенных задач.
Для этого:
1.Откройте страницу «Календарь».
2.Нажмите «Завершить все задачи».
3.В открывшемся окне подтвердите действие, нажав «Да».
Пользователи без прав администратора могут останавливать выполнение любых запланированных задач в расписании.
Для этого:
1.Откройте страницу «Календарь».
2.Рядом с нужной задачей нажмите . Откроется окно с предупреждением «Вы действительно хотите принудительно завершить задачу название задачи в расписании?».
3.Нажмите «Да», чтобы подтвердить действие.
Остановленным задачам назначается статус «Прервано». Их можно удалить из расписания.
6.9. Удаление плейбуков и связанной информации
Удалять плейбуки, которые ранее не запускались, могут любые пользователи. Удалять плейбуки, которые уже использовались, могут только пользователи с ролью «Администратор».
Чтобы полностью удалить плейбук и связанную с ним информацию:
1.Откройте страницу «Мониторинг».
2.Выберите вкладку «История».
3.В строке с нужным плейбуком нажмите .
4.В открывшемся окне подтвердите действие, нажав «Удалить».
Удалять плейбуки, которые ранее не запускались, могут любые пользователи. Удалять плейбуки, которые уже использовались, могут только пользователи с ролью «Администратор».
Чтобы полностью удалить плейбук и связанную с ним информацию:
1.Откройте страницу «Мониторинг».
2.Выберите вкладку «История».
3.В строке с нужным плейбуком нажмите .
4.В открывшемся окне подтвердите действие, нажав «Удалить».
7. Работа с секретами
Подсистема оркестрации позволяет разграничивать доступ, эффективно управлять и безопасно пользоваться секретами — чувствительной информацией, раскрывающей параметры доступа к различным ресурсам.
Такая информация может включать авторизационные токены, ключи доступа к внешним API, имена и пароли учетных записей и т. д.
Подобная информация в виде пар «ключ–значение» сохраняется в специальном криптохранилище и с помощью механизма контекстного объекта передается в скрипты в момент их исполнения.
Весь процесс хранения и передачи сопровождается сквозным шифрованием TLS 1.2. Это исключает утечку конфиденциальной информации из системы, а также неавторизованный доступ к ней.
Пользователи могут:
•изменять ключи и значения старых секретов;
•удалять пары «ключ–значение»;
•добавлять новые секреты.
Тегирование секретов
Помимо собственно пары «ключ–значение» хранение секретов также предусматривает их обязательное тегирование. Тег определяет, какому из плейбуков будет доступен соответствующий секрет (или несколько секретов). В качестве тегов могут выступать названия организаций, наименования операционных систем (например, тег windows может соответствовать секретам windows_login и windows_password для скриптов, требующих авторизации на устройстве под управлением ОС Windows) или такие понятия, как dev и prod для различных сред эксплуатации решения.
Подсистема оркестрации позволяет разграничивать доступ, эффективно управлять и безопасно пользоваться секретами — чувствительной информацией, раскрывающей параметры доступа к различным ресурсам.
Такая информация может включать авторизационные токены, ключи доступа к внешним API, имена и пароли учетных записей и т. д.
Подобная информация в виде пар «ключ–значение» сохраняется в специальном криптохранилище и с помощью механизма контекстного объекта передается в скрипты в момент их исполнения.
Весь процесс хранения и передачи сопровождается сквозным шифрованием TLS 1.2. Это исключает утечку конфиденциальной информации из системы, а также неавторизованный доступ к ней.
Пользователи могут:
•изменять ключи и значения старых секретов;
•удалять пары «ключ–значение»;
•добавлять новые секреты.
Тегирование секретов
Помимо собственно пары «ключ–значение» хранение секретов также предусматривает их обязательное тегирование. Тег определяет, какому из плейбуков будет доступен соответствующий секрет (или несколько секретов). В качестве тегов могут выступать названия организаций, наименования операционных систем (например, тег windows может соответствовать секретам windows_login и windows_password для скриптов, требующих авторизации на устройстве под управлением ОС Windows) или такие понятия, как dev и prod для различных сред эксплуатации решения.
7.1. Создание секретов
Чтобы создать секрет:
1.Откройте страницу Секреты.
2.Нажмите «Создать секрет».
Откроется окно настроек.
3.Укажите пару «ключ–значение».
4.Укажите, с какими тегами будет связан создаваемый секрет.
5.При необходимости добавьте комментарий.
6.Нажмите «Создать».
Чтобы создать секрет:
1.Откройте страницу Секреты.
2.Нажмите «Создать секрет».
Откроется окно настроек.
3.Укажите пару «ключ–значение».
4.Укажите, с какими тегами будет связан создаваемый секрет.
5.При необходимости добавьте комментарий.
6.Нажмите «Создать».
7.2. Очистка библиотеки секретов
Возможность доступна только пользователям с ролью «Администратор».
Чтобы удалить все секреты:
1.Откройте страницу «Секреты».
2.Нажмите «Очистка».
3.В открывшемся окне подтвердите действие, нажав «Очистить».
Все секреты будут удалены из списка и связанных объектов. Также будут удалены ассоциированные с этими секретами теги.
Возможность доступна только пользователям с ролью «Администратор».
Чтобы удалить все секреты:
1.Откройте страницу «Секреты».
2.Нажмите «Очистка».
3.В открывшемся окне подтвердите действие, нажав «Очистить».
Все секреты будут удалены из списка и связанных объектов. Также будут удалены ассоциированные с этими секретами теги.
8. Работа с агентами
Агент в решении UDV SOAR — это компонент Lambda Executor, размещаемый на целевой платформе и предназначенный для исполнения скриптов и плейбуков.
Агентская система подсистемы оркестрации повышает гибкость и универсальность всего решения, поскольку позволяет применять описанную в плейбуках логику на различных конечных точках. Например, плейбук может:
•передать утилиту командной строки на определенный сервер или рабочую станцию, запустить ее и вернуть полученные данные для обработки;
•запустить утилиту в качестве демона Linux или службы Windows и отслеживать ход выполнения, инициировать поиск в файлах или журналах, применять определенные настройки и т. д.
Агенты устанавливаются на рабочие станции с помощью инсталляторов, поставляемых в дистрибутиве.
Агент в решении UDV SOAR — это компонент Lambda Executor, размещаемый на целевой платформе и предназначенный для исполнения скриптов и плейбуков.
Агентская система подсистемы оркестрации повышает гибкость и универсальность всего решения, поскольку позволяет применять описанную в плейбуках логику на различных конечных точках. Например, плейбук может:
•передать утилиту командной строки на определенный сервер или рабочую станцию, запустить ее и вернуть полученные данные для обработки;
•запустить утилиту в качестве демона Linux или службы Windows и отслеживать ход выполнения, инициировать поиск в файлах или журналах, применять определенные настройки и т. д.
Агенты устанавливаются на рабочие станции с помощью инсталляторов, поставляемых в дистрибутиве.
8.1. Просмотр сведений об агентах
Чтобы открыть полный список агентов, когда-либо подключавшихся к вашему экземпляру подсистемы оркестрации:
1.Откройте страницу «Агенты и точки доступа».
2.Выберите вкладку «Агенты».
Список можно отсортировать по статусу активности — «Активен» и «Неактивен». Непосредственно используются в работе только активные агенты.
Чтобы посмотреть сведения об агенте, нажмите на строку с ним или кнопку . В открывшемся окне будут указаны:
•статус агента;
•архитектура системы, в которой он установлен (amd64 и т. д.);
•IP-адрес и имя рабочей машины, на которой он установлен;
•доступные среды выполнения (рантаймы — Python, PowerShell и т. д.);
Чтобы открыть полный список агентов, когда-либо подключавшихся к вашему экземпляру подсистемы оркестрации:
1.Откройте страницу «Агенты и точки доступа».
2.Выберите вкладку «Агенты».
Список можно отсортировать по статусу активности — «Активен» и «Неактивен». Непосредственно используются в работе только активные агенты.
Чтобы посмотреть сведения об агенте, нажмите на строку с ним или кнопку . В открывшемся окне будут указаны:
•статус агента;
•архитектура системы, в которой он установлен (amd64 и т. д.);
•IP-адрес и имя рабочей машины, на которой он установлен;
•доступные среды выполнения (рантаймы — Python, PowerShell и т. д.);
8.2. Работа с функциональными группами
Агенты можно объединять в функциональные группы. Это может потребоваться для сценариев, в которых требуется обособить несколько устройств и исполнять на них определенные плейбуки — например, если в компании есть три отдела, и только на устройствах в одном из них нужно ежедневно запускать определенный плейбук.
Агенты можно объединять в функциональные группы. Это может потребоваться для сценариев, в которых требуется обособить несколько устройств и исполнять на них определенные плейбуки — например, если в компании есть три отдела, и только на устройствах в одном из них нужно ежедневно запускать определенный плейбук.
8.2.1. Создание функциональных групп
Чтобы создать функциональную группу:
1.Откройте страницу Агенты и точки доступа.
2.Нажмите «Функциональные группы».
3.Нажмите «Добавить функциональную группу».
4.Укажите название группы.
5.В раскрывающемся списке «Точки доступа/агенты» выберите нужные наименования.
6.Нажмите «Создать».
Функциональная группа будет сохранена, появится всплывающее окно с соответствующим уведомлением.
Чтобы создать функциональную группу:
1.Откройте страницу Агенты и точки доступа.
2.Нажмите «Функциональные группы».
3.Нажмите «Добавить функциональную группу».
4.Укажите название группы.
5.В раскрывающемся списке «Точки доступа/агенты» выберите нужные наименования.
6.Нажмите «Создать».
Функциональная группа будет сохранена, появится всплывающее окно с соответствующим уведомлением.
8.2.2. Настройка и удаление функциональных групп
Чтобы настроить функциональную группу:
1.Откройте страницу «Агенты и точки доступа».
2.Нажмите «Функциональные группы».
3.В строке с нужной группой нажмите .
Откроется окно «Редактирование функциональной группы».
4.Измените наименование группы и список добавленных агентов и точек доступа.
5.Нажмите «Обновить».
Функциональная группа будет сохранена, появится соответствующее уведомление.
6.Чтобы удалить группу, в нужной строке нажмите и подтвердите действие, нажав «Удалить».
Функциональная группа будет удалена, появится появится соответствующее уведомление.
Чтобы настроить функциональную группу:
1.Откройте страницу «Агенты и точки доступа».
2.Нажмите «Функциональные группы».
3.В строке с нужной группой нажмите .
Откроется окно «Редактирование функциональной группы».
4.Измените наименование группы и список добавленных агентов и точек доступа.
5.Нажмите «Обновить».
Функциональная группа будет сохранена, появится соответствующее уведомление.
6.Чтобы удалить группу, в нужной строке нажмите и подтвердите действие, нажав «Удалить».
Функциональная группа будет удалена, появится появится соответствующее уведомление.
8.3. Использование агентов
Активные агенты можно использовать для исполнения скриптов и плейбуков.
Выбрать агент или функциональную группу можно двумя способами:
1.В отладчике плейбуков — перед запуском плейбука, в раскрывающемся списке «Агенты и группы».
2.В настройках узла «Скрипт» — при необходимости наименование нужного агента или группы агентов можно дописать вручную.
Если пользователь не укажет агент или группу, подсистема назначит их автоматически. Выбор делается из списка доступных агентов на основе их загруженности, соответствия ОС и т. д.
Активные агенты можно использовать для исполнения скриптов и плейбуков.
Выбрать агент или функциональную группу можно двумя способами:
1.В отладчике плейбуков — перед запуском плейбука, в раскрывающемся списке «Агенты и группы».
2.В настройках узла «Скрипт» — при необходимости наименование нужного агента или группы агентов можно дописать вручную.
Если пользователь не укажет агент или группу, подсистема назначит их автоматически. Выбор делается из списка доступных агентов на основе их загруженности, соответствия ОС и т. д.
9. Работа с точками доступа
Точки доступа служат для описания серверов, рабочих станций или облачных ресурсов, предназначенных для выполнения кода скриптов.
Точки доступа служат для описания серверов, рабочих станций или облачных ресурсов, предназначенных для выполнения кода скриптов.
9.1. Создание точек доступа
Чтобы создать точку доступа:
1.Откройте страницу Агенты и точки доступа.
2.Нажмите «Создать точку доступа». Откроется окно настроек.
3.Укажите название и тег.
4.Установите флажок «Облачный провайдер», если создаваемая точка доступа относится к этой категории. Из выпадающего списка ниже выберите sber, selectel или yandex.
5.Если создаваемая точка доступа не относится к облачным провайдерам, укажите ее URI-идентификатор в соответствующем поле.
6.Нажмите «Создать».
Чтобы создать точку доступа:
1.Откройте страницу Агенты и точки доступа.
2.Нажмите «Создать точку доступа». Откроется окно настроек.
3.Укажите название и тег.
4.Установите флажок «Облачный провайдер», если создаваемая точка доступа относится к этой категории. Из выпадающего списка ниже выберите sber, selectel или yandex.
5.Если создаваемая точка доступа не относится к облачным провайдерам, укажите ее URI-идентификатор в соответствующем поле.
6.Нажмите «Создать».
