TISC-Playbook-Vorlagen
In diesem Abschnitt werden die Playbook-Vorlagen beschrieben, die im Lieferumfang der TISC Sentinel-Lösung enthalten sind.
| Anwendungsfall | Playbook | Beschreibung |
|---|---|---|
| Erkennbare Elemente werden von TISC nach Sentinel importiert | Batch_Indicator_Uploader | Bietet einen Batch-Mechanismus für den Export von erkennbaren Elementen aus TISC mithilfe der Upload Indicators-API von Microsoft Sentinel. |
| Import_Observables_Batch | Aktiviert den geplanten Export von erkennbaren Elementen aus TISC. | |
| Exportieren Sie Entitäten aus Sentinel nach TISC | Export_Incident_Entities | Exportiert alle Entitäten eines Sentinel-Incidents. |
| Export_Hash_Entity | Exportieren Sie die Datei-Hash-Entitäten des Sentinel-Incidents. | |
| Export_Domain_Entity-Entitäten | Exportieren Sie Domänenentitäten des Sentinel-Incidents. | |
| Export_IP_Entity | Exportieren Sie IP-Entitäten des Sentinel-Incidents. | |
| Export_URL_Entity | Exportieren Sie URL-Entitäten des Sentinel-Incidents. | |
| Sentinel-Incidents ergänzen | Incident_Enrichment | Aktiviert die Anreicherung von Sentinel-Incidents durch Abrufen von Details im Zusammenhang mit zugehörigen Entitäten und Veröffentlichen von Informationen in Form von Kommentaren zum Incident |
Hinweis:
Alle Playbooks verwenden intern den TISC Custom Connector, um TISC-APIs zu verwenden.
Erstellen Sie Playbooks aus Vorlagen
- Navigieren Sie zur Inhaltsseite der TISC-Lösung aus dem Inhalts-Hub im Sentinel-Arbeitsbereich.
- Gehen Sie für jedes auf der Inhaltsseite angezeigte Playbook wie folgt vor:
- Wählen Sie die Playbook-Vorlage aus. Ein Kontextbereich wird auf der rechten Seite des Bildschirms angezeigt. Klicken Sie auf Konfiguration.
- Lesen Sie die Beschreibung der Playbook-Vorlage, und gehen Sie die in der Beschreibung genannten Schritte Voraussetzungen und Schritte nach der Bereitstellung durch.
- Klicken Sie auf Anwenderdefinierten Connector bereitstellen (wenn Sie den anwenderdefinierten Connector noch nicht bereitgestellt haben).
Fügen Sie auf der Seite Bereitstellungskonfiguration die URL der ServiceNow-Instanz hinzu.
- Klicken Sie auf Playbook erstellen. Sie gelangen zum Konfigurationsbildschirm für die Bereitstellung
- Im Konfigurationsbildschirm „Playbook erstellen“:
- Wählen Sie die entsprechende Ressourcengruppe aus.
- Ändern Sie den Playbook-Namen, oder verwenden Sie den Standardnamen.
- Geben Sie den Namen des anwenderdefinierten Connectors(stellen Sie sicher, dass dieser mit dem Namen des Connectors übereinstimmt, den Sie im vorherigen Schritt bereitgestellt haben) im Abschnitt „Parameter“ an.
- Klicken Sie auf Überprüfen und erstellen.
Konfigurieren Sie das Playbook „Import_Observables_Batch“.
Stellen Sie sicher, dass Sie das Playbook „Batch_Indicator_Uploader“ erstellen, bevor das Playbook „Import_Observables_Batch“ erstellt wird.
- Navigieren zu um das Playbook zu bearbeiten.
- Aktualisieren Sie die Wiederholungszeit (in Stunden) nach Bedarf.
- Aktualisieren Sie in der Komponente „TISC Custom Connector“ im Playbook die Parameter, die an die TISC-API gesendet werden.
Parametername Beschreibung Erkennbarer Typ Nachfolgend sind die unterstützten Typen aufgeführt. Wählen Sie einen oder mehrere aus: - IP
- Datei-Hash
- Domäne
- URL
Bedrohungsbewertung Geben Sie die Bedrohungsbewertung für erkennbare Elemente ein. Der Wert der Bedrohungsbewertung MUSS eine Zahl im Bereich von 0 bis 100 sein. Vertrauen Geben Sie die Konfidenz für erkennbare Elemente ein. Der Konfidenzwert muss eine Zahl im Bereich von 0 bis 100 sein.
Reputation Nachfolgend sind die unterstützten Werte aufgeführt. Wählen Sie einen oder mehrere aus: - Clean
- Böswillig
- Verdächtig
- Unbekannt
Bedrohungsschweregrad Nachfolgend sind die unterstützten Schweregradstufen aufgeführt. Wählen Sie eine oder mehrere aus: - Kritisch
- Hoch
- Mittel
- Niedrig
Bedrohungsstufe Nachfolgend sind die unterstützten Bedrohungsstufen aufgeführt. Wählen Sie eine oder mehrere aus: - Hoch
- Mittel
- Niedrig
Zuletzt aktualisiertes Delta in Stunden Die letzte Aktualisierungszeit (in Stunden) für erkennbare Elemente.
Konfigurieren Sie das Playbook „Export_Incident_Entities“.
Dieses Playbook verwendet die TISC-API zum Hinzufügen erkennbarer Elemente. Mit dem Logik-App-Designer können Sie die Parameter bearbeiten, die vom Playbook an die API gesendet werden. Weitere Informationen finden Sie unter TISC-API – POST /sn_sec_tisc/threat_intel_data/add_observables.
Sie können das gleiche Verfahren für alle unten aufgeführten Playbooks anwenden, die verschiedene Arten von Entitäten exportieren:
- Export_Hash_Entity
- Export_Domain_Entity
- Export_IP_Entity
- Export_URL_Entity
Playbook für Incident_Enrichment konfigurieren
Dieses Playbook verwendet die TISC Observables API. Mit dem Logik-App-Designer können Sie die Parameter bearbeiten, die vom Playbook an die API gesendet werden. Weitere Informationen finden Sie unter TISC-API – POST /sn_sec_tisc/threat_intel_data/observables.
Führen Sie Playbooks aus
In der folgenden Tabelle wird beschrieben, wie Sie die folgenden Playbooks ausführen können.
| Playbook | Aktion |
|---|---|
| Import_Observables_Batch | Dieses Playbook wird automatisch basierend auf der geplanten Zeit ausgeführt, die im Wiederholungsauslöser erwähnt wird. |
| Export_Incident_Entities | Wählen Sie bei einem Sentinel-Incident die Option aus zur Ausführung. |
| Export_Hash_Entity | Wählen Sie bei einem Sentinel-Incident die Option aus zur Ausführung. |
| Export_Domain_Entity | Wählen Sie bei einem Sentinel-Incident die Option aus zur Ausführung. |
| Export_IP_Entity | Wählen Sie bei einem Sentinel-Incident die Option aus zur Ausführung. |
| Export_URL_Entity | Wählen Sie bei einem Sentinel-Incident die Option aus zur Ausführung. |
| Incident_Enrichment | Wählen Sie bei einem Sentinel-Incident die Option aus zur Ausführung. |