前提条件
操作步骤
1. 登录 安全运营中心控制台,在左侧导航栏,单击【自动编排响应】>【剧本中心】,进入剧本中心页面。
2. 在剧本中心页面,单击【已发布】或【未发布】,进入相应页面后,单击【新建剧本】,进入新建剧本页面。
说明
本文以已发布列表页面为例。
3. 在新建剧本页面,输入剧本名称和剧本描述,选择剧本类型和针对事件后,单击【下一步】进入自定义图谱编排页面。
说明
若剧本类型选择“响应类”:针对事件需选择同一来源的事件,目前支持选择“主机安全”和“流量威胁感知”来源的事件。
若剧本类型选择“统计类”:
可从“事件来源”、“事件类型”、“事件子类”、“事件名称”四个维度选择待统计的事件。
运行时间可选择每天、每周、每月三个维度统计;若选择每周/每月,则每周一/每月一号会生成上周/上月的统计报告。
4. 在自定义图谱编排页面,支持节点搜索、剧本流程配置和节点参数配置,其中剧本流程配置包含节点拖拽和节点连接。
节点列表及搜索:提供40+节点,单击搜索框,通过搜索快速查询需要的节点。n 
剧本流程配置:节点可拖拽至右侧画布中,节点之间可进行连接。除判断节点外,每个节点不能重复拖拽。
当鼠标在节点悬浮时,出现“删除”图标,可删除节点。删除节点后将删除该节点、节点参数及与该节点相关联的后置节点输入参数的配置。n 
单击连线选中后,可通过键盘“Backspace”键删除连线。n
单击“已完成连线的节点”,可对节点的输入参数进行配置。
说明
其中参数来源分为以下3种情况:
前置节点参数:指所有前置节点的输出参数,您需要选择对应节点及参数值。
内置参数:指剧本、事件内置的参数,您需要选择对应的参数值。
自定义参数值:部分参数例如事件等级,取值在固定范围内,需根据实际情况选择指定的参数值。
5. 选择所需图谱编排后,单击【生成剧本】生成自定义剧本,并自动跳转剧本测试页面。
说明
若生成剧本失败,则请您检查所有节点的参数均已配置并完成所有节点的连线后重新生成。
6. 剧本测试是为了验证自定义剧本是否编排正确,您需选择已发生的安全事件进行测试,测试过程中系统不会进行封禁 IP、隔离/信任病毒文件、变更事件状态操作,不影响线上业务。
响应类剧本:需输入事件 ID(在安全事件列表中获取),选择已发生的安全事件,并单击【开始测试】进行剧本测试。剧本将会模拟执行,并显示执行结果,您可查看所有节点的执行结果以及是否成功。
统计类剧本:单击【开始测试】进行剧本测试。剧本将会模拟执行,并显示执行结果,您可查看所有节点的执行结果以及是否成功。
说明
状态为“测试中”的剧本,【开始测试】不可点击。
7. 当剧本测试通过后,单击【发布】发布剧本,并选择是否发布后立即启用剧本。
说明
状态为“测试中”和“测试未通过”的剧本,【发布】不可点击。
若您发布的剧本针对事件被其他启用中的剧本占用,则在发布成功后会关闭剧本的启用状态。n