Workflows und Aktivitäten von Threat Intelligence Orchestration
Das Basissystem enthält Workflows und Workflow-Aktivitäten, mit denen Sie Aktionen in Ihrer -Instanz automatisieren können.
Threat Intelligence - IoC-Such-Workflow ausführen
Der Workflow „ Threat Intelligence – IoC -Suche ausführen“ überprüft, ob ein nicht abgelaufenes erkennbares Element vorhanden ist. Wenn dies der Fall ist, wird die Suche auf Abgeschlossen gesetzt und mit den Daten des erkennbaren Elements aktualisiert.
Vorbereitungen
Erforderliche Rolle: sn_si.basic
Wenn eine Suche eingefügt oder aktualisiert wird und die Bedingungen erfüllt, löst die Geschäftsregel Suche diesen Workflow aus.
Warum und wann dieser Vorgang ausgeführt wird
Der Workflow „ Threat Intelligence – IoC -Suche ausführen“ überprüft, ob ein nicht abgelaufenes erkennbares Element vorhanden ist. Wenn dies der Fall ist, wird die Suche auf Abgeschlossen gesetzt und mit den Daten des erkennbaren Elements aktualisiert. Alle dem erkennbaren Element zugeordneten Indikatoren werden erneut aktiviert.
Wenn das erkennbare Element abgelaufen ist, führt der Workflow die Suchvorgänge aus und erhöht die Sichtungsanzahl im vorhandenen, abgelaufenen erkennbaren Element.
Wenn kein korrelierendes erkennbares Element vorhanden ist, wird ein neues erkennbares Element mit Indikator erstellt.
Füllen Sie die Suche mit der Aktivität erkennbarer Elemente aus
Wenn ein nicht abgelaufenes erkennbares Element gefunden wird, liefert die Workflow-Aktivität Threat Intelligence Orchestration – Suche mit erkennbarem Element ausfüllen Daten aus einem vorhandenen erkennbaren Element für eine Suche. Diese Aktivität kann den Untersuchungs- und Korrekturprozess beschleunigen.
Bei Auslösung durch einen Workflow versucht „ Suche mit erkennbarem Element füllen “ ein vorhandenes erkennbares Element für eine Suche zu finden, das dem Wert und Typ der Suche entspricht, die der Aktivität als Eingabe bereitgestellt wurde.
Wenn das erkennbare Element vorhanden und nicht abgelaufen ist, diese Aktivität:
- Aktualisiert die Suche mit den im erkennbaren Element gefundenen Informationen
- Reaktiviert einen Indikator, wenn er inaktiv ist, erhöht die Anzahlder ermittelten Werte und aktualisiert das Datum der letzten Anzeige
- Legt den Status auf „Abgeschlossen“ fest.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Eingabevariablen | Beschreibung |
|---|---|
| scanID[Zeichenfolge] | Suchbezeichner |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Ausgabevariablen | Beschreibung |
|---|---|
| True | Gültiges erkennbares Element gefunden und Suche aktualisiert. |
| Falsch | Es wurde kein gültiges erkennbares Element gefunden. Erkennbares Element fehlt oder ist abgelaufen. |
Führen Sie die Aktivität „IoC-Suche“ durch
Die Workflow-Aktivität „Threat Intelligence Orchestration – IoC- Suche durchführen“ führt eine bestimmte Suche durch. Diese Aktivität kann den Untersuchungs- und Korrekturprozess beschleunigen.
Wenn dies von einem Workflow ausgelöst wird, verwendet „IoC -Suche durchführen“ eine scanID, sucht den Suchdatensatz und fügt die Suche der Warteschlange hinzu, indem ein Suchwarteschlangeneintrag erstellt wird.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| scanID[Zeichenfolge] | Suchbezeichner |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| True | Die Suche wurde ausgelöst. |
| Falsch | Die Suche wurde nicht ausgelöst. |
Erkennbares Element mit Suchergebnisaktivität aktualisieren
Die Workflow-Aktivität „ Threat Intelligence Orchestration – Erkennbares Element mit Suchergebnis aktualisieren“ aktualisiert den Datensatz des erkennbaren Elements. Wenn eines nicht vorhanden ist, wird ein neues erkennbares Element erstellt. Diese Aktivität ist nützlich, um Informationen zu protokollieren.
Wird dies von einem Workflow ausgelöst, aktualisiert Erkennbares Element mit Suchergebnis aktualisieren ein vorhandenes erkennbares Element mit der neuen Sichtungsanzahl, fügt eine Notiz hinzu und reaktiviert Indikatoren, falls inaktiv. Die Anzahl erkannter Elemente und das Datum der letzten Anzeige im Indikator werden ebenfalls aktualisiert.
Wenn kein korrelierendes erkennbares Element vorhanden ist, erstellt der Workflow wie folgt ein neues erkennbares Element mit dem folgenden Indikator:
- Führt die IoC-Suchen aus
- Erstellt ein neues erkennbares Element
- Erstellt einen Indikator für das erkennbare Element
- Fügt dem erkennbaren Element eine Sichtungsanzahl hinzu
- Fügt dem Indikator eine Anzahl erkannter Elemente und ein Datum der letzten Anzeige hinzu
- Fügt eine Nachricht hinzu, die angibt, aus welcher Suche sie erstellt wurde
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| scanID[Zeichenfolge] | Suchbezeichner. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| True | Die Aktualisierung oder Erstellung des erkennbaren Elements war erfolgreich. |
| Falsch | Fehler beim Aktualisieren oder Erstellen des erkennbaren Elements. |
Führen Sie die Aktivität „Standard-IoC-Suchquellen“ aus
Wenn dies von einem Workflow ausgelöst wird, akzeptiert Threat Intelligence - Standard-IoC-Suchquellen ausführen eine Suchanforderungs-ID und erstellt abhängig von den eingegebenen Datenwerten mehrere Suchvorgänge.
Für jeden Datentyp wird die Scan-Spalte „include_in_bulk “ der Tabelle der unterstützten Suchtypen jeder Suchquelle ausgewertet. Bei „wahr“ wird der Suchanforderung eine Suche hinzugefügt.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| scan_request_id | Systembezeichner für Suchanforderung |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Anzahl der erstellten Scans | Ganzzahl |