Documentație
Automatizare CYBERQUEST
Modulul Automation din CYBERQUEST permite execuția automată a pașilor de mitigare și a acțiunilor predefinite ca răspuns la anumite evenimente sau alerte.
Acțiunile sunt grupate în playbook-uri, care definesc secvențe structurate de operațiuni concepute pentru a realiza procese specifice de mitigare.
Playbook-urile pot fi create, editate sau șterse prin intermediul interfeței grafice.
Acțiuni și parametri de intrare
Fiecare acțiune dintr-un playbook necesită date de intrare (parametri) specifice pentru a funcționa corect. În timpul configurării playbook-ului, toți parametrii necesari pentru fiecare acțiune pot fi personalizați.
- Parametrii sunt dinamici, iar valorile lor sunt determinate automat la runtime, atunci când se execută playbook-ul.
- În timpul depanării playbook-ului (consultați secțiunea Troubleshooting), Execution History oferă informații detaliate despre valorile de intrare utilizate pentru fiecare execuție de acțiune.
Declanșarea execuției unui playbook
Playbook-urile pot fi executate în mai multe moduri:
- Automat, din alerte
- Manual, din Event Browser
- Manual, din Alert Browser
- Manual, din Case Management
Execuția automată din alerte
Un playbook poate fi declanșat automat de o anumită alertă.
- Atunci când este generată o alertă, playbook-ul corespunzător este executat automat.
- Instanța alertei devine datele globale de intrare pentru playbook și poate fi referențiată în cadrul acțiunilor prin placeholdere.
Pentru a configura execuția automată a unui playbook pentru o anumită alertă:
1.Navigați la Settings > Alerts > Realtime
2.Deschideți definiția alertei și localizați Has Action
3.Selectați parametrul PlayBooks.PLAYBOOK și alegeți playbook-ul care va fi asociat alertei

Atunci când sistemul detectează încercări repetate cu parolă invalidă, un playbook automat este declanșat imediat. Acesta deschide un caz de investigație predefinit, adaugă probele relevante și notifică echipa SOC, astfel încât aceasta să poată analiza și răspunde rapid.
Execuția manuală din Event Browser
Inițiați un playbook manual prin selectarea unui anumit eveniment din interfața grafică interactivă.

Playbook-ul rulează pentru acel eveniment specific, permițând o mitigare țintită fără a aștepta declanșatoarele automate.
Execuția manuală din Alert Browser
Inițiați un playbook manual prin selectarea unei anumite alerte din interfața grafică interactivă.

Fluxul de mitigare este aplicat alertei selectate, oferind flexibilitatea de a răspunde la cerere la alertele critice.
Consultați Settings > Management > Playbooks pentru instrucțiuni privind adăugarea sau editarea fluxurilor de mitigare.
Tipurile de acțiuni includ:
- Acțiuni specifice furnizorului, precum integrări cu firewall, EDR sau sisteme de ticketing
- Acțiuni funcționale, precum numărarea elementelor unui array, logica condițională (IF), suma unui array sau acțiuni personalizate folosind obiecte DTS și JavaScript
Tehnologii / furnizori specifici
CYBERQUEST include o listă extinsă și în continuă creștere de furnizori de tehnologie pentru a sprijini automatizarea sarcinilor zilnice de mitigare și a administrării securității.
Lista de furnizori este actualizată automat cu fiecare nouă versiune, adăugând mai mulți furnizori și acțiuni în fluxurile de mitigare.
Mulți furnizori oferă integrări API cu produsele lor. Documentația API completă este disponibilă pe site-urile web ale furnizorilor respectivi.
O listă completă a furnizorilor suportați și a acțiunilor disponibile poate fi găsită în secțiunea Supported Vendors.
Această integrare permite CYBERQUEST să interacționeze fără probleme cu o gamă largă de sisteme terțe, oferind răspunsuri automate eficiente și consecvente pe mai multe tehnologii.
Acțiuni funcționale
Pentru a permite fluxuri de mitigare flexibile și personalizate, CYBERQUEST oferă mai multe acțiuni funcționale sub furnizorul „CYBERQUEST Playbook”. Aceste acțiuni ajută la orchestrarea răspunsurilor pe baza condițiilor, datelor sau a logicii predefinite:
- IF - Evaluează o condiție specificată și returnează un rezultat boolean. Această acțiune permite fluxului de lucru să se ramifice în căi true/false în funcție de evaluare.
- Count - Numără elementele dintr-o variabilă dată. Variabila trebuie să fie un array; în caz contrar, execuția este întreruptă.
- Code - Execută un obiect DTS predefinit, permițând logică sau operațiuni personalizate în cadrul playbook-ului. Configurarea obiectelor DTS este descrisă în documentația DTS.
Aceste acțiuni funcționale fac posibilă crearea de fluxuri de mitigare dinamice, condiționale și programabile adaptate unor scenarii specifice.