Skip to content

Documentație

Cum se activează acțiuni automate în alertele în timp real

Pentru a utiliza acțiunile automate predefinite, creați mai întâi o alertă nouă sau deschideți/editați un scenariu ori o alertă existentă.

Pentru a utiliza acțiunile automate predefinite, creați mai întâi o alertă nouă sau deschideți/editați un scenariu ori o alertă existentă.

Pentru instrucțiuni privind crearea unei alerte noi, consultați linkul furnizat: Cum se creează alerte noi

Pentru a accesa parametrii acțiunilor, deschideți meniul ALERT SETTINGS navigând în Settings > Alerts > Realtime. Pagina de personalizare Alerts se va deschide în interfața modulului Alerts.

La crearea sau editarea unei alerte, va fi disponibilă caseta de bifare Has Action:

Imagine

Apăsați Imagine pentru a deschide fereastra Action Parameters, care include o listă derulantă de acțiuni automate și oferă acces la Script Editor pentru crearea unui script personalizat.

Imagine

Selectarea unei acțiuni specifice (de exemplu, dezactivarea unui cont de utilizator Linux) activează un scenariu de răspuns automat. Aceste acțiuni pot include activarea sau dezactivarea conturilor de utilizator, trimiterea de notificări prin e-mail sau messenger și altele.

O acțiune este executată ca răspuns la alertele declanșate de condiții specifice ale evenimentelor.

Următoarele acțiuni automate predefinite sunt disponibile în prezent:

1.LinuxActions.DISABLE_USER

Această acțiune automată dezactivează sau elimină conturile de utilizator Linux specificate de pe hostul țintă, pe baza parametrilor definiți:

Imagine

  • Target User - Specifică contul de utilizator care va fi dezactivat.

  • Host - Definește sistemul pe care se va aplica acțiunea.

  • CredentialsGUID Specifică credențialele utilizate de serverul CYBERQUEST pentru a efectua acțiunea.

Această acțiune necesită parola de root pentru a fi executată.

La execuție, utilizatorul specificat va fi eliminat de pe sistemul țintă și nu se va mai putea autentifica sau conecta.

Target User:

  • Static Value - O denumire de utilizator fixă poate fi furnizată direct în câmp. Utilizatorul specificat va fi dezactivat pe baza acestei valori statice:

    Imagine

  • Properties - Permite selectarea dinamică a utilizatorului pe baza datelor evenimentului. Folosiți câmpul UserName dintr-o regulă și un index de eveniment specificate pentru a determina care utilizator va fi dezactivat:

    Imagine

Host:

  • Specifică sistemul țintă pe care va fi dezactivat contul de utilizator. Acesta poate fi hostul de pe care a provenit evenimentul sau o mașină specifică (de exemplu, DC09)

    Imagine

CredentialsGUID:

Specifică credențialele utilizate de serverul CYBERQUEST pentru a executa acțiunea. Credențialul corespunzător (de exemplu, AgentWindows) este selectat dintr-o listă predefinită:

Imagine

2.LinuxActions.ENABLE_USER

Această acțiune activează sau restabilește un cont de utilizator Linux specific, permițând utilizatorului să se conecteze din nou. Funcționează pe baza următorilor parametri:

  • Target User - Specifică contul de utilizator care va fi activat

  • Host - Indică hostul pe care contul va fi reactivat

  • CredentialsGUID - Definește credențialele utilizate pentru a efectua acțiunea

Această acțiune necesită parola de root pentru a fi executată.

Target User:

  • Static Value - O denumire de utilizator fixă poate fi furnizată direct în câmpul Static Value pentru a specifica contul de utilizator care va fi activat.

  • Properties - O selecție dinamică ce permite alegerea unei denumiri de utilizator dintr-o regulă și o instanță de eveniment specifice, folosind câmpul UserName. Aceasta permite acțiunii să vizeze utilizatori identificați la runtime.

Host:

  • Specifică sistemul țintă pe care va fi executată acțiunea. Acesta poate fi hostul de origine sau un sistem specific, cum ar fi un controler de domeniu (de exemplu, DC09).

CredentialsGUID:

  • Indică ce credențiale stocate de pe serverul CYBERQUEST sunt utilizate pentru a efectua acțiunea. Credențialele sunt selectate dintr-o listă disponibilă (de exemplu, AgentWindows).

3.LinuxActions.EXPIRE_USER_PASSWORD

Această acțiune impune expirarea parolei pentru un utilizator Linux specificat, împiedicând conectările ulterioare cu parola curentă. Configurarea necesită următorii parametri:

  • Target User - Utilizatorul a cărui parolă va expira

  • Host - Sistemul pe care se aplică acțiunea

  • CredentialsGUID - Credențialele utilizate pentru a efectua operațiunea

Execuția poate fi realizată de un administrator de grup sau de un utilizator cu privilegii suficiente; accesul de root nu este obligatoriu.

Target User:

  • Static Value - Introduceți o denumire de utilizator specifică a cărei parolă ar trebui să expire.

  • Properties - Valorile dinamice pot fi aplicate prin selectarea regulii și a numărului evenimentului din listă. De exemplu, câmpul UserName poate fi utilizat pentru a identifica dinamic utilizatorul țintă.

Host:

  • Specifică sistemul țintă pe care va fi executată acțiunea. Acesta poate fi hostul de origine sau un sistem specific, cum ar fi un controler de domeniu (de exemplu, DC09).

CredentialsGUID:

  • Selectați credențialele (de exemplu, AgentWindows) de pe serverul CYBERQUEST care vor fi utilizate pentru a executa acțiunea de expirare a parolei.

4.LinuxActions.DISABLE_PASSWORD_EXPIRE

Această acțiune dezactivează expirarea parolei pentru un utilizator Linux specificat, permițând utilizatorului să se conecteze fără a fi restricționat de o parolă expirată. Acțiunea se efectuează pe baza următorilor parametri:

  • Target User - Contul de utilizator Linux pentru care expirarea parolei urmează a fi dezactivată.

  • Host - Sistemul pe care va fi executată acțiunea.

  • CredentialsGUID - Credențialele utilizate de CYBERQUEST pentru a efectua acțiunea pe hostul țintă.

Poate fi realizată de un administrator de grup.

Target User:

  • Static Value - O denumire de utilizator fixă poate fi specificată direct. În acest caz, denumirea utilizatorului este introdusă manual în câmpul Static Value.

  • Properties - Valorile dinamice pot fi utilizate prin selectarea unei reguli și a unui număr de eveniment din listă. De exemplu, câmpul UserName poate fi referențiat pentru a identifica dinamic contul pentru care expirarea parolei ar trebui dezactivată.

Host:

Specifică sistemul țintă pe care va fi executată acțiunea. Acesta poate fi hostul de origine (unde a avut loc evenimentul declanșator) sau un sistem desemnat, cum ar fi un controler de domeniu (de exemplu, DC09).

CredentialsGUID:

Indică credențialele care vor fi utilizate de serverul CYBERQUEST la executarea acțiunii. O intrare de credențial (de exemplu, AgentWindows) trebuie selectată din lista predefinită disponibilă în sistem.

5.Notifications Email/ Teams/Slack/Jira

Aceste acțiuni declanșează notificări automate prin canale de comunicare selectate, inclusiv Email, Microsoft Teams, Slack sau Jira, pe baza condițiilor de alertă definite.

Imagine

Mesajul personalizat definit de utilizator, care va fi livrat atunci când alerta este declanșată de un eveniment corespunzător. Acest mesaj include de obicei context despre riscul sau condiția detectată.

6.PlayBooks.RUN_PLAYBOOK

Această acțiune declanșează execuția unui playbook definit ca răspuns la instanța alertei. Când condițiile alertei sunt îndeplinite, playbook-ul asociat este inițiat automat, permițând un flux de răspuns structurat și automatizat. Playbook-urile pot include o serie de sarcini, acțiuni sau decizii predefinite, concepute pentru a gestiona evenimente de securitate specifice sau scenarii operaționale.

Imagine

AlertSecurityThreshold - Setează o valoare numerică statică pentru a defini nivelul impactului de securitate al alertei.

Run Playbook - Selectează un playbook din lista intrărilor disponibile definite în modulul Playbooks pentru a fi executat atunci când alerta este declanșată.

7.LinuxActions.MANIPULATE_SERVICE

Această acțiune efectuează operațiuni pe un serviciu Linux specificat - pornirea, oprirea sau repornirea acestuia - pe baza parametrilor definiți.

ServiceName - Identifică numele serviciului Linux care urmează a fi manipulat

Action - Specifică tipul operațiunii pe serviciu (start, stop, restart)

Host - Indică hostul pe care va fi executată operațiunea pe serviciu

CredentialsGUID - Indică credențialele care vor fi utilizate de serverul CYBERQUEST la executarea acțiunii. O intrare de credențial (de exemplu, AgentWindows) trebuie selectată din lista predefinită disponibilă în sistem.

Această acțiune necesită acces cu parola de root pentru a fi executată cu succes.

ServiceName:

  • Static Value - Un nume de serviciu fix poate fi introdus direct (de exemplu, sshd, nginx).
  • Properties - Permite selectarea dinamică a numelui serviciului dintr-o regulă și o instanță de eveniment, permițând o automatizare flexibilă pe baza datelor evenimentului.

Action:

  • Static Value - Permite selectarea operațiunii dorite dintr-o listă predefinită (de exemplu, start, stop, restart).
  • Properties - Permite selectarea dinamică a operațiunii prin referențierea unui câmp specific din evenimentul sau regula declanșatoare, permițând acțiunii să se adapteze pe baza datelor de la runtime.

Host:

  • Specifică sistemul țintă pe care va fi executată acțiunea. Acesta poate fi hostul de origine (unde a avut loc evenimentul declanșator) sau un sistem desemnat, cum ar fi un controler de domeniu (de exemplu, DC09).

CredentialsGUID:

  • Indică credențialele stocate de pe serverul CYBERQUEST utilizate pentru a autentifica și executa comanda de serviciu. Credențialele sunt selectate dintr-o listă (de exemplu, AgentLinuxRoot).

8.LinuxActions.BLOCK_IP_ADDRESS

Această acțiune blochează o adresă IP specifică pe un host Linux desemnat, folosind parametri definiți. Este utilizată de obicei pentru a preveni comunicarea din partea unor surse potențial malițioase.

IpAddress - Specifică adresa IP care va fi blocată.

Host - Indică hostul pe care va fi aplicată acțiunea de blocare.

CredentialsGUID - Definește credențialele utilizate pentru a efectua acțiunea.

Această acțiune necesită acces de root pentru a fi executată.

IpAddress:

  • Static Value - O adresă IP specifică poate fi introdusă manual pentru a aplica o regulă de blocare fixă.
  • Properties - Permite selectarea dinamică a adresei IP dintr-o regulă și o instanță de eveniment (de exemplu, folosind câmpul SourceIP) pentru a bloca adresele identificate la runtime.

Host:

  • Specifică hostul Linux pe care va fi blocată adresa IP. Acesta poate fi hostul de pe care a fost colectat evenimentul declanșator sau un sistem țintă desemnat (de exemplu, Server02).

CredentialsGUID:

  • Indică ce credențiale stocate de pe serverul CYBERQUEST vor fi utilizate pentru a executa comanda. Selectați din lista disponibilă (de exemplu, AgentLinux).

9.LinuxActions.REMOVE_BLOCK_IP_ADDRESS

Această acțiune elimină o blocare aplicată anterior asupra unei adrese IP specifice pe un host Linux desemnat, pe baza parametrilor furnizați.

  • IpAddress - Specifică adresa IP care va fi deblocată.
  • Host - Indică hostul pe care va fi efectuată eliminarea blocării.
  • CredentialsGUID - Definește credențialele utilizate pentru a executa acțiunea.

IpAddress:

  • Static Value - O adresă IP fixă poate fi introdusă manual pentru a specifica ce adresă să fie deblocată.
  • Properties - Permite selectarea dinamică a adresei IP dintr-o regulă și o instanță de eveniment (de exemplu, câmpul SourceIP), permițând acțiuni de deblocare pe baza datelor de eveniment în timp real.

Host:

  • Specifică hostul Linux pe care va fi eliminată blocarea adresei IP. Acesta poate fi hostul original sau un alt sistem țintă.

CredentialsGUID:

  • Indică ce credențiale stocate de pe serverul CYBERQUEST vor fi utilizate pentru a rula comanda de deblocare. Alegeți din lista disponibilă (de exemplu, AgentLinux).

10.LinuxActions.KILL_PROCESS_BY_PID

Această acțiune oprește un proces specific pe un host Linux folosind ID-ul procesului (PID), pe baza parametrilor furnizați.

  • PID - Specifică ID-ul procesului care va fi oprit.
  • Host - Indică hostul pe care va fi executată oprirea procesului.
  • CredentialsGUID - Definește credențialele utilizate pentru a efectua acțiunea.

Accesul de root este necesar pentru a executa această acțiune.

PID:

  • Static Value - Un ID de proces fix poate fi introdus manual pentru a specifica ce proces să fie oprit.
  • Properties - Permite selectarea dinamică a PID-ului dintr-o regulă și o instanță de eveniment, permițând oprirea proceselor pe baza datelor de eveniment în timp real.

Host:

  • Specifică hostul Linux pe care va fi efectuată oprirea procesului. Acesta poate fi hostul de origine sau un sistem desemnat.

CredentialsGUID:

  • Indică ce credențiale stocate de pe serverul CYBERQUEST sunt utilizate pentru a efectua operațiunea de oprire. Selectați din lista disponibilă (de exemplu, AgentLinux).

11.LinuxActions.KILL_PROCESS_BY_NAME

Această acțiune oprește un proces Linux pe baza numelui său, folosind următorii parametri:

  • ProcessName - Specifică numele procesului care va fi oprit.
  • Host - Indică hostul pe care va fi oprit procesul.
  • CredentialsGUID - Definește credențialele utilizate pentru a efectua acțiunea.

ProcessName:

  • Static Value - Un nume de proces fix poate fi introdus direct pentru a specifica ce proces să fie oprit.
  • Properties - Suportă selectarea dinamică a numelui procesului dintr-o regulă și o instanță de eveniment, permițând oprirea proceselor pe baza datelor de eveniment în timp real.

Host:

  • Specifică sistemul țintă pe care va fi executată acțiunea. Acesta poate fi hostul de origine sau un alt sistem desemnat.

CredentialsGUID:

  • Indică ce credențiale stocate de pe serverul CYBERQUEST sunt utilizate pentru a executa acțiunea. Credențialele sunt selectate din lista disponibilă.

12.LinuxActions.CQ_SERVICES_STATUS

Această acțiune verifică starea serviciilor CyberQuest pe un host specificat, folosind următorii parametri:

  • Host - Specifică sistemul țintă pe care va fi efectuată verificarea stării serviciului.
  • CredentialsGUID - Definește credențialele utilizate pentru a executa interogarea stării.

Host:

  • Selectează sistemul pe care va fi verificată starea serviciului CyberQuest. Acesta poate fi hostul de origine sau un alt sistem desemnat.

CredentialsGUID:

  • Indică ce credențiale stocate de pe serverul CYBERQUEST sunt utilizate pentru a efectua acțiunea, selectate din lista disponibilă.

13.LinuxActions.VALIDATE_CERTIFICATE

Această acțiune validează certificatele SSL/TLS pe un host specificat, folosind următorul parametru:

  • Host - Specifică sistemul țintă pe care va fi efectuată validarea certificatului.

Host:

  • Selectează sistemul pe care va fi executat procesul de validare a certificatului. Acesta poate fi hostul de origine sau un alt sistem desemnat.

14.LinuxActions.CHECK_IF_OS_IS_WINDOWS

Această acțiune verifică dacă hostul specificat rulează un sistem de operare Windows, pe baza următorului parametru:

  • Host - Specifică sistemul țintă pentru a verifica tipul de OS.

Host:

  • Selectează sistemul pe care va fi efectuată verificarea OS-ului. Acesta poate fi hostul de origine sau un alt sistem desemnat.

15.WindowsActions.DISABLE_USER

Această acțiune dezactivează un cont de utilizator Windows specific pe hostul țintă, pe baza următorilor parametri:

  • TargetUser - Specifică contul de utilizator care va fi dezactivat
  • Host - Indică sistemul pe care contul de utilizator va fi dezactivat
  • CredentialsGUID - Definește credențialele utilizate pentru a efectua acțiunea

TargetUser:

  • Static Value - O denumire de utilizator fixă poate fi furnizată direct pentru a specifica contul de utilizator care va fi dezactivat.
  • Properties - Suportă selectarea dinamică a contului de utilizator din datele regulii și ale evenimentului (de exemplu, câmpul UserName), permițând acțiunii să vizeze utilizatori identificați în timp real.

Host:

  • Static Value - Un nume de host fix sau o adresă IP pot fi setate ca sistem țintă.
  • Properties - Permite selectarea dinamică a hostului din informațiile regulii și ale evenimentului pe care va fi executată acțiunea.

CredentialsGUID:

  • Specifică credențialele stocate utilizate de CYBERQUEST pentru a efectua acțiunea, selectate dintr-o listă disponibilă.

16.WindowsActions.ENABLE_USER

Această acțiune activează un cont de utilizator Windows specific pe hostul țintă, pe baza următorilor parametri:

  • TargetUser - Specifică contul de utilizator care va fi activat
  • Host - Indică sistemul pe care contul de utilizator va fi activat
  • CredentialsGUID - Definește credențialele utilizate pentru a efectua acțiunea

TargetUser:

  • Static Value - O denumire de utilizator fixă poate fi furnizată direct pentru a specifica contul de utilizator care va fi activat.
  • Properties - Suportă selectarea dinamică a contului de utilizator din datele regulii și ale evenimentului (de exemplu, câmpul UserName), permițând acțiunii să vizeze utilizatori identificați în timp real.

Host:

  • Static Value - Un nume de host fix sau o adresă IP pot fi setate ca sistem țintă.
  • Properties - Permite selectarea dinamică a hostului din informațiile regulii și ale evenimentului pe care va fi executată acțiunea.

CredentialsGUID:

  • Specifică credențialele stocate utilizate de CYBERQUEST pentru a efectua acțiunea, selectate dintr-o listă disponibilă.

17.WindowsActions.START_SERVICE

Această acțiune pornește un serviciu Windows specificat pe sistemul țintă, pe baza următorilor parametri:

  • TargetService - Identifică serviciul care va fi pornit
  • Host - Indică sistemul pe care serviciul ar trebui pornit
  • CredentialsGUID - Definește credențialele utilizate pentru a executa acțiunea

TargetService:

  • Static Value - Un nume de serviciu specific poate fi furnizat direct (de exemplu, Spooler) pentru a fi pornit.
  • Properties - Permite identificarea dinamică a numelui serviciului folosind câmpuri din regulă și eveniment, permițând un răspuns contextual.

Host:

  • Static Value - Un nume de host sau o adresă IP predefinită pot fi introduse manual.
  • Properties - Permite selectarea dinamică a hostului din informațiile regulii și ale evenimentului pe care va fi executată acțiunea.

CredentialsGUID:

  • Specifică ce credențiale stocate din CYBERQUEST sunt utilizate pentru a porni serviciul. Credențialele sunt selectate dintr-o listă predefinită.

18.WindowsActions.STOP_SERVICE

Această acțiune oprește un serviciu Windows specificat pe sistemul țintă folosind parametrii de mai jos:

  • TargetService - Specifică serviciul care va fi oprit
  • Host - Indică sistemul pe care rulează serviciul
  • CredentialsGUID - Definește credențialele utilizate pentru a executa acțiunea

TargetService:

  • Static Value - Introduceți numele exact al serviciului care va fi oprit (de exemplu, Spooler).
  • Properties - Determină dinamic numele serviciului din câmpurile de context ale evenimentului, permițând controlul serviciului în funcție de context.

Host:

  • Static Value - Specificați manual un host fix (nume de host sau IP).
  • Properties - Permite selectarea dinamică a hostului din informațiile regulii și ale evenimentului pe care va fi executată acțiunea.

CredentialsGUID:

  • Selectează credențialul de pe serverul CYBERQUEST pentru a autoriza acțiunea. Credențialele sunt alese dintr-o listă predefinită.

19.WindowsActions.RESTART_SERVICE

Această acțiune repornește un serviciu Windows specific pe un host desemnat, pe baza următorilor parametri:

  • TargetService - Definește serviciul Windows care va fi repornit
  • Host - Specifică sistemul pe care va fi executată repornirea serviciului
  • CredentialsGUID - Indică credențialele utilizate pentru a autentifica și efectua acțiunea

TargetService:

  • Static Value - Un nume de serviciu fix poate fi introdus direct în câmpul Static Value pentru a identifica serviciul care va fi repornit.
  • Properties - Permite selectarea dinamică a numelui serviciului dintr-o regulă și o instanță de eveniment, făcând acțiunea sensibilă la datele contextuale ale evenimentului.

Host:

  • Static Value - Un nume de host specific poate fi introdus direct pentru a identifica unde va fi repornit serviciul.
  • Properties - Recuperează dinamic hostul din datele regulii sau ale evenimentului, vizând sistemul care a declanșat alerta.

CredentialsGUID:

  • Specifică ce credențiale stocate de pe serverul CYBERQUEST vor fi utilizate pentru a efectua operațiunea. Credențialul corespunzător (de exemplu, AgentWindows) este selectat dintr-o listă predefinită.