Планировщик заданий
Общее описание
Компонент Планировщик заданий включает в себя функционал работы с поисковыми заданиями. Поисковое задание представляет собой запрос, который выполняется по заданному расписанию, а полученные результаты обрабатываются различными активными действиями. Активное действие представляет собой специфическую обработку результатов поискового запроса, такую как создание инцидента, отправка почтового уведомления и другие действия.
В главном разделе компонента представлен перечень всех заданий:
Пример запланированного поискового запроса:
Задания могут быть созданы пользователем вручную или предоставляться в составе какого-либо модуля в качестве сопутствующего контента.
Цветной индикатор показывает статус задания:
- Неактивные задания: 🔴
Красный - Активные задания: 🟢
Зеленый
По результатам выполнения запланированного задания возможны различные активные действия, такие как отправка результатов по E-mail, заведение инцидентов, агрегация результатов в индекс и др.
Полный перечень возможных действий:
- Создание инцидента
- Отправка E-mail
- Запуск скрипта
- Вебхук
- Запись в БД
- Индексация cобытий
- Логирование событий
- Начисление риск-балла, где можно настроить тип скоринга на взаимодействие с модулем UBA
- Фиксация техник MITRE ATTACK
- Начисление риск-балла MITRE ATTACK
- Запуск другого поиска
Данные действия можно создавать и редактировать в выбранной задаче на вкладке Активные действия. Подробную информацию про активные действия можно найти по ссылке.
Более подробно ознакомиться с созданием и настройкой запланированных заданий можно в статье Планировщик заданий.