Fluxos de trabalho e atividades da Orquestração de inteligência contra ameaças
O sistema base inclui fluxos de trabalho e atividades de fluxo de trabalho que você pode usar para automatizar ações em sua instância.
Inteligência contra ameaças - Executar fluxo de trabalho de pesquisa de IoC
O fluxo de trabalho Inteligência contra ameaças - Executar pesquisa de IoC verifica se há um observável não expirado e, em caso afirmativo, a pesquisa é definida como Concluída e atualizada com os dados do observável.
Antes de Iniciar
Função necessária: sn_si.basic
Se uma pesquisa for inserida ou atualizada e atender às condições, a regra de negócio Pesquisar acionará este fluxo de trabalho.
Por Que e Quando Desempenhar Esta Tarefa
O fluxo de trabalho Inteligência contra ameaças - Executar pesquisa de IoC verifica se há um observável não expirado e, em caso afirmativo, a pesquisa é definida como Concluída e atualizada com os dados do observável. Todos os indicadores associados ao observável são reativados.
Se o observável estiver expirado, o fluxo de trabalho executará as pesquisas e incrementará a contagem de detecções no observável expirado existente.
Se não existir nenhum observável correlacionado, um novo observável com o indicador será criado.
- Preencher pesquisa com atividade de observável
- Executar atividade de pesquisa de IoC
- Aguardar pesquisa (atividade principal)
- Atualizar observável com atividade de resultado de pesquisa
Preencher pesquisa com atividade de observável
Se um observável não expirado for encontrado, a atividade de fluxo de trabalho Orquestração de inteligência contra ameaças - Preencher pesquisa com observável fornecerá dados de um observável existente para uma pesquisa. Esta atividade pode acelerar o processo de investigação e correção.
Quando acionado por um fluxo de trabalho , a pesquisa Preencher com observável tenta encontrar um observável existente para uma pesquisa que corresponda ao valor e ao tipo da pesquisa fornecida para a atividade como entrada.
Se o observável existir e não estiver expirado, esta atividade:
- Atualiza a pesquisa com as informações encontradas no observável
- Reativa um indicador se ele estiver inativo, incrementa a contagem de itens encontradose atualiza a data de visto pela última vez
- Define o estado como Concluído.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável de entrada | Descrição |
|---|---|
| scanID[cadeia de caracteres] | identificador de pesquisa |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variáveis de saída | Descrição |
|---|---|
| Verdadeiro | Observável válido encontrado e pesquisa atualizada. |
| Falso | Não foi encontrado um observável válido. O observável está ausente ou expirou. |
Executar atividade de pesquisa de IoC
A atividade de fluxo de trabalho Orquestração de inteligência contra ameaças - Executar pesquisa de IoC executa uma determinada pesquisa. Esta atividade pode acelerar o processo de investigação e correção.
Quando acionado por um fluxo de trabalho, Executar pesquisa de IoC usa um scanID, pesquisa o registro de pesquisa e adiciona a pesquisa à fila criando uma entrada de fila de pesquisa.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| scanID[cadeia de caracteres] | identificador de pesquisa |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| Verdadeiro | A pesquisa foi acionada. |
| Falso | Não acionou a pesquisa. |
Atualizar observável com atividade de resultado de pesquisa
A atividade de fluxo de trabalho Orquestração de inteligência contra ameaças - Atualizar observável com resultado de pesquisa atualiza o registro do observável. Se não existir, ele criará um novo observável. Esta atividade é útil para registrar informações.
Quando acionado por um fluxo de trabalho , Atualizar observável com resultado de pesquisa atualiza um observável existente para incluir a nova Contagem de detecções, adiciona uma anotação e, se inativo, reativa todos os indicadores. A contagem de Encontrados e a Data da última visita no indicador também são atualizadas.
Se não houver nenhum observável correlacionado, o fluxo de trabalho criará um novo observável com o indicador da seguinte forma:
- Executa as pesquisas de IoC
- Cria um novo observável
- Cria um indicador para o observável
- Adiciona uma contagem de detecções ao observável
- Adiciona uma contagem de encontrados e a data da última visita ao indicador
- Adiciona uma mensagem indicando de qual pesquisa ela foi criada
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| scanID[cadeia de caracteres] | Identificador de pesquisa. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| Verdadeiro | A atualização ou criação do observável foi bem-sucedida. |
| Falso | Falha na atualização ou criação do observável. |
Atividade Executar pesquisa de origens de IoC padrão
Quando acionado por um fluxo de trabalho, Inteligência contra ameaças - Executar origens de pesquisa de IoC padrão usa um ID de solicitação de pesquisa e cria várias pesquisas, dependendo dos valores de dados inseridos.
Para cada tipo de dados, a coluna de verificação include_in_bulk da tabela de tipo de pesquisa compatível de cada origem de pesquisa é avaliada. Se verdadeiro, uma pesquisa será adicionada à solicitação de pesquisa.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| scan_request_id | Identificador do sistema de solicitação de pesquisa |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| Número de verificações criadas | Números inteiros |