Modèles de playbook TISC

Rversion finale: Australia

Mis à jour 12 mars 2026

3 minutes de lecture

Cette section décrit les modèles de playbook fournis avec la solution TISC Sentinel.

Tableau 1. Cas d’utilisation de PlaybookLa table suivante décrit les différents cas d’utilisation de playbook.
Cas d'utilisation	Playbook	Description
Importation d’observables de TISC vers Sentinel	Batch_Indicator_Uploader	Fournit un mécanisme de traitement par lots pour exporter des observables à partir de TISC à l’aide de l’API de chargement d’indicateurs fournie par Microsoft Sentinel.
Importation d’observables de TISC vers Sentinel	Import_Observables_Batch	Active l’exportation planifiée des observables à partir de TISC.
Exporter des entités de Sentinel vers TISC	Export_Incident_Entities	Exporter toutes les entités d’un incident Sentinel.
	Export_Hash_Entity	Exporter les entités de hachage de fichier de l’incident Sentinel.
	Export_Domain_Entity entités	Exporter les entités de domaine de l’incident Sentinel.
	Export_IP_Entity	Exporter les entités IP de l’incident Sentinel.
	Export_URL_Entity	Exporter les entités URL de l’incident Sentinel.
Enrichir les incidents Sentinel	Incident_Enrichment	Permet d’enrichir les incidents Sentinel en récupérant les détails relatifs aux entités qui y sont associées et en publiant des informations sous forme de commentaires sur l’incident.

Remarque :

Tous les playbooks utilisent le connecteur personnalisé TISC en interne pour utiliser les API TISC.

Créer des playbooks à partir de modèles

Accédez à la page de contenu de lasolution ISC à partir du concentrateur de contenu de l’espace de travail Sentinel.
Pour chaque playbook affiché dans la page de contenu, procédez comme suit :
1. Sélectionnez le modèle de playbook, un volet de contexte s’affiche sur le côté droit de l’écran, cliquez sur Configuration.
2. Lisez la description du modèle de playbook, suivez les étapes Prérequis et Post déploiement mentionnées dans la description.
3. Cliquez sur Déployer un connecteur personnalisé (si vous n’avez pas déjà déployé le connecteur personnalisé).
  Ajoutez l’URL de l’instance ServiceNow sur la page Configuration du déploiement .
4. Cliquez sur Créer un playbook, vous serez redirigé vers l’écran de configuration du déploiement
5. Dans l’écran Créer une configuration de playbook :
  - Sélectionnez le groupe de ressources approprié.
  - Modifiez le nom du playbook ou utilisez le nom par défaut.
  - Indiquez le nom du connecteur personnalisé(assurez-vous qu’il correspond au nom du connecteur que vous avez déployé à l’étape précédente) dans la section Paramètres.
  - Cliquez sur Examiner et créer.

Configurer Import_Observables_Batch playbook

Assurez-vous de créer Batch_Indicator_Uploader playbook avant que le playbook Import_Observables_Batch ne soit créé.

Accédez à la Concepteur d’application logique pour modifier le playbook.
Mettez à jour la durée de récurrence (en heures) selon vos besoins.

Depuis le composant Connecteur personnalisé TISC dans le playbook, mettez à jour les paramètres envoyés à l’API TISC.


Nom de paramètre	Description
Type d'observable	Les types pris en charge sont les suivants, sélectionnez-en un ou plusieurs : Adresse IP Hachage de fichiers Domaine URL
Score de menace	Saisissez le score de menace pour les observables. La valeur du score de menace DOIT être un nombre compris entre 0 et 100.
Fiabilité	Entrez la confiance pour les observables. La valeur de confiance DOIT être un nombre compris entre 0 et 100.
Réputation	Les valeurs prises en charge sont les suivantes, sélectionnez-en une ou plusieurs : Nettoyer Malveillant Suspect Inconnu
Gravité de la menace	Les niveaux de gravité pris en charge sont les suivants, sélectionnez-en un ou plusieurs : Critique Élevé Moyenne Faible
Niveau de menace	Les niveaux de menace pris en charge sont les suivants, sélectionnez-en un ou plusieurs : Élevé Moyenne Faible
Dernière mise à jour du delta en heures	Heure de la dernière mise à jour (en heures) des observables.

Configurer Export_Incident_Entities playbook

Ce playbook utilise l’API TISC Ajouter des observables. À l’aide du concepteur d’application logique, vous pouvez modifier les paramètres envoyés à l’API à partir du playbook. Pour plus d’informations, consultez API TISC : POST /sn_sec_tisc/threat_intel_data/add_observables.

Vous pouvez suivre la même procédure pour tous les playbooks répertoriés ci-dessous qui exportent différents types d’entités :

Export_Hash_Entity
Export_Domain_Entity
Export_IP_Entity
Export_URL_Entity

Configurer Incident_Enrichment playbook

Ce playbook utilise l’API d’observables TISC. À l’aide du concepteur d’application logique, vous pouvez modifier les paramètres envoyés à l’API à partir du playbook. Pour plus d’informations, consultez API TISC : POST /sn_sec_tisc/threat_intel_data/observables.

Exécuter les playbooks

Le tableau suivant décrit comment exécuter les playbooks suivants.


Playbook	Action
Import_Observables_Batch	Ce playbook s’exécute automatiquement en fonction de l’heure planifiée mentionnée dans le déclencheur de récurrence.
Export_Incident_Entities	Sur un incident Sentinel, sélectionnez Actions d'incidents > Exécuter le playbook pour exécution.
Export_Hash_Entity	Sur un incident Sentinel, sélectionnez Entité de hachage de fichier > Exécuter le playbook pour exécution.
Export_Domain_Entity	Sur un incident Sentinel, sélectionnez Entité de domaine > Exécuter le playbook pour exécution.
Export_IP_Entity	Sur un incident Sentinel, sélectionnez Entité IP > Exécuter le playbook pour exécution.
Export_URL_Entity	Sur un incident Sentinel, sélectionnez Entité de l’URL > Exécuter le playbook pour exécution.
Incident_Enrichment	Sur un incident Sentinel, sélectionnez Actions d'incidents > Exécuter le playbook pour exécution.