• 点击新建分组，可将同类剧本放到同一个分组进行管理

• 点击新增剧本，便可在XDR平台上新建一个原始剧本。

预案设置

•  新增剧本后，自动打开以下界面，填写以下信息
  •  剧本名称：输入剧本的名称。
  •  剧本描述：输入对剧本的描述或者剧本应用场景
  •  剧本分类：可按剧本的类型，分到不同的组，便于后续管理。
  •  执行方式：可以选择自动执行，当检测到事件后，网络安全应急保障系统自动进行剧本执行，手动执行为检查事件后，需要人工将事件流转到剧本中执行。
  •  触发条件执行：当勾选触发条件执行时，会出现必填的规则选项，填写相应的规则条件后，当匹配的事件满足填写的条件时，剧本才会自动执行。
  • 自适应解封配置：在执行条件设置中配置标签、加白状态、GPT研判结论、事件定性四个字段，当前预案执行完成后，配置的字段发生变化，导致不再符合预案执行条件，将自动解封之前预案封禁的实体。

高级设置

• 点击剧本【高级设置】，可配置输入、输出参数，用于父预案向子预案传递参数。

• 以内置预案【感染普通病毒外联处置】为例，配置了多个输入参数。

• 输入参数，在配置内置预案时使用，用于降低SOAR剧本配置难度，提高配置效率。

数组

• 一组有序的元素集合，可自定义多种格式。配置字段如下
  • 名称：配置数组名称
  • 输入提示：用于提示输入格式和要求
  • 输入类型：支持URI、字符串、整数、区间范围、预定义类型、哈希
  • 属性：必填、支持多值、自动去重
  • 输入方式：手动输入、自定义、系统内置选型
  • 默认值：SOAR剧本执行时，使用默认值

字典

• 一种键-值对的集合，每个键对应一个值。配置字段案例如下：

应用

• 可选择平台接入的SOAR联动应用

附件

• 可用于上传附件，如图片或报告

消息文本

• 可用于输入多行文本段落，如下为企业微信联动通知内容。