Déclencheurs de webhook

Rversion finale: Australia

Mis à jour 12 mars 2026

7 minutes de lecture

Les déclencheurs de webhook sont utilisés pour filtrer les entités de renseignements sur les menaces à suivre pour tout changement d’événement tel que Créer, Mettre à jour et Supprimer.

Avant de commencer

Rôle requis : sn_sec_tisc.admin

Procédure

Accédez à la Tous > Centre de sécurité des renseignements sur les menaces > Administration.
Sélectionner Webhooks Configurations > Déclencheurs.
La page Déclencheurs de webhooks s’affiche.

Cliquez sur Nouveau.

Champ	Description
Nom	Saisissez un nom de déclencheur de webhook.
Description	Ajoutez la description du déclencheur de webhook.
Table	Sélectionnez la table du déclencheur de webhook.
Type de déclencheur	Définit si le déclencheur de webhook configuré est un événement créer/mettre à jour/supprimer sur la table spécifiée. Champs de déclencheur : ils s’affichent lorsque vous sélectionnez le type de déclencheur : Mettre à jour. Il s’agit de la liste des champs de l’enregistrement pour lesquels l’événement de mise à jour doit être suivi. Si ce champ est vide, l’événement est pris en compte pour tout changement de champ de l’enregistrement. Par exemple, si les champs de déclencheur sont Fiabilité et Réputation pour la table Observables , ce déclencheur n’est pris en compte que lors de la mise à jour des champs de confiance ou de réputation. Remarque : Les champs sélectionnés dans les champs d’exclusion ne seront pas disponibles dans la sélection des champs de déclencheur. Supprimer : si le type de déclencheur : Supprimer , les champs d’exclusion ne sont pas visibles.
Champs d'exclusion	Il s’agit de l’ensemble des champs qui sont exclus de la charge utile du déclencheur de webhook.
Conditions de filtre	Conditions facultatives qui peuvent être appliquées pour filtrer les enregistrements de correspondances pour n’importe quel déclencheur d’événement. Par exemple, si la gravité de la menace est élevée et que le type de déclencheur est défini comme Mise à jour dans la table Observable, seuls les observables qui sont modifiés et où la gravité de la menace est élevée sont envoyés à l’URL Webhook.

Cliquez sur Enregistrer.
Par défaut, le déclencheur est créé avec l’état désactivé.
Cliquez sur Activer pour activer le déclencheur et ce déclencheur sera disponible pour que les webhooks s’abonnent.

Remarque :
Cliquez sur Désactiver pour désactiver le déclencheur activé et la désactivation désabonnera tous les webhooks associés de ce déclencheur.
Cliquez sur Afficher l’exemple de charge utile pour sélectionner l’enregistrement.
Affichez l’exemple de charge utile de ce déclencheur de webhook particulier. En fonction de la table sélectionnée, les enregistrements de cette table spécifiée sont renseignés dans la liste déroulante Sélectionner un enregistrement . Sélectionnez l’enregistrement pour afficher l’exemple de charge utile. L’exemple de charge utile est affiché au format JSON. Les champs de la charge utile sont répertoriés ci-dessous.

Sélectionnez le type d’enregistrement dans la liste déroulante.

La charge utile sera automatiquement modifiée en fonction de l’enregistrement sélectionné.

{
    "record": "Observable",
    "record_fields": {
        "additional_context": "This could be a potential malicious IP. ",
        "attack_phases": "Lockheed Martin: Command and Control",
        "author": "Anomali",
        "confidence": "50",
        "description": "This could be a potential malicious IP. ",
        "expiration_time": "2024-12-01T00:00:00.000Z",
        "first_observed": "2024-01-01T00:00:00.000Z",
        "first_seen": "2024-01-01T00:00:00.000Z",
        "id": "ipv4-addr--70526b0a436a02102164e0ea78b8f210",
        "is_defanged": "false",
        "is_false_positive": "false",
        "last_observed": "2024-01-01T00:00:00.000Z",
        "last_seen": "2024-01-01T00:00:00.000Z",
        "reputation": "suspicious",
        "source_count": "1",
        "status": "active",
        "sys_created_by": "SecCommon.System",
        "sys_created_on": "2024-06-04T00:00:00.000Z",
        "sys_id": "30526b0a436a02102164e0ea78b8f210",
        "sys_updated_by": "system",
        "sys_updated_on": "2024-06-15T00:00:00.000Z",
        "tags": "critical",
        "taxonomies": "MITRE: T121",
        "threat_level": "medium",
        "threat_score": "24",
        "threat_severity": "medium",
        "tlp": "CLEAR",
        "type": "ip_v4_address",
        "usage_categories": "APT",
        "value": "116.98.170.70"
    },
    "trigger": {
        "name": "Observable Update",
        "type": "UPDATE",
        "trigger_time": "2024-07-26T07:27:29.000Z",
        "trigger_fields": [
            {
                "field_name": "confidence",
                "previous_value": "30",
                "current_value": "50"
            }
        ]
    }
}

Tableau 1. Liste des paramètres dans la charge utile du déclencheur
Paramètre dans la charge utile du déclencheur	Type	Description
enregistrement	Chaîne	Spécifie le type d’enregistrement tel qu’Observable ou Indicateur.
record_fields	Objet	Spécifie l’instantané des champs d’enregistrement lorsque l’événement est généré. Pour obtenir la liste des champs pris en charge, consultez la table de la section ci-dessous.
déclencher	Objet	Spécifie les informations sur le déclencheur correspondant.
trigger.name	Chaîne	Spécifie le nom du déclencheur
déclencheur.type	Chaîne	Spécifie le type de déclencheur. Les valeurs valides sont CRÉER, METTRE À JOUR, SUPPRIMER.
trigger.trigger_time	Date (au format ISO avec fuseau horaire UTC)	Spécifie l’heure à laquelle l’événement s’est produit dans l’enregistrement.
trigger_fields	Tableau d'objets	Ceci n’est disponible que pour le type de déclencheur METTRE À JOUR. Elle spécifie la liste des champs de déclenchement qui ont été modifiés lors de l’événement. Les paramètres à l’intérieur trigger_fields sont les suivants : field_name : fournit le nom du champ qui a été modifié previous_value : fournit la valeur précédente du champ. current_value : fournit la valeur actuelle du champ.

Tableau 2. Liste des champs pris en charge pour la création et la mise à jour de déclencheurs
Table	Nom de colonne	Étiquette de colonne
Campagne	alias	Alias
Campagne	description	Description
Campagne	first_seen	Premier observé
Campagne	last_seen	Dernier observé
Campagne	nom	Nom
Campagne	objectif	Objectif
Indicateur	additional_context	Contexte supplémentaire
Indicateur	attack_phases	Phases d'attaque
Indicateur	auteur	Auteur
Indicateur	fiabilité	Fiabilité
Indicateur	description	Description
Indicateur	expiration_time	Délai d'expiration
Indicateur	first_detected	Premier détecté
Indicateur	first_observed	Premier observé
Indicateur	first_seen	Premier observé
Indicateur	id	ID
Indicateur	indicator_types	Types des indicateurs
Indicateur	ioc_classification	Classification IOC
Indicateur	last_observed	Derniers observés
Indicateur	last_seen	Dernier observé
Indicateur	nom	Nom
Indicateur	modèle	Modèle
Indicateur	pattern_type	Type de schéma
Indicateur	pattern_version	Version du modèle
Indicateur	plateformes	Plateformes
Indicateur	Révoqué	Révoqué
Indicateur	source_count	Nombre de sources
Indicateur	spec_version	Version de spéc.
Indicateur	statut	Statut
Indicateur	étiquettes	Balises TISC
Indicateur	Taxonomies	Taxonomies
Indicateur	threat_level	Niveau de menace
Indicateur	threat_severity	Gravité de la menace
Indicateur	TLP (en anglais seulement)	TLP
Indicateur	usage_categories	Catégories d'utilisation
Indicateur	valid_from	Date de début de validité
Indicateur	valid_until	Fin de validité
Programme malveillant	alias	Alias
Programme malveillant	attack_phases	Phases d'attaque
Programme malveillant	description	Description
Programme malveillant	executable_process_architectures	Architectures de processus
Programme malveillant	first_seen	Premier observé
Programme malveillant	implementation_languages	Langues d'implémentation
Programme malveillant	is_family	Est la famille
Programme malveillant	last_seen	Dernier observé
Programme malveillant	malware_capabilities	Options de logiciel malveillant
Programme malveillant	malware_types	Types de programmes malveillants
Programme malveillant	nom	Nom
Objet (champs d’objet communs)	additional_context	Contexte supplémentaire
Objet (champs d’objet communs)	fiabilité	Fiabilité
Objet (champs d’objet communs)	expiration_time	Délai d'expiration
Objet (champs d’objet communs)	id	ID
Objet (champs d’objet communs)	Révoqué	Révoqué
Objet (champs d’objet communs)	source_count	Nombre de sources
Objet (champs d’objet communs)	spec_version	Version de spéc.
Objet (champs d’objet communs)	statut	Statut
Objet (champs d’objet communs)	étiquettes	Balises TISC
Objet (champs d’objet communs)	Taxonomies	Taxonomies
Objet (champs d’objet communs)	threat_level	Niveau de menace
Objet (champs d’objet communs)	threat_severity	Gravité de la menace
Objet (champs d’objet communs)	TLP (en anglais seulement)	TLP
Observable	additional_context	Contexte supplémentaire
Observable	attack_phases	Phases d'attaque
Observable	auteur	Auteur
Observable	fiabilité	Fiabilité
Observable	description	Description
Observable	expiration_time	Délai d'expiration
Observable	first_observed	Premier observé
Observable	first_seen	Premier observé
Observable	id	ID
Observable	is_defanged	Est neutralisé
Observable	is_false_positive	Est un faux positif
Observable	last_observed	Derniers observés
Observable	last_seen	Dernier observé
Observable	Réputation	Réputation
Observable	source_count	Nombre de sources
Observable	statut	Statut
Observable	étiquettes	Balises TISC
Observable	Taxonomies	Taxonomies
Observable	threat_level	Niveau de menace
Observable	threat_score	Score de menace
Observable	threat_severity	Gravité de la menace
Observable	TLP (en anglais seulement)	TLP
Observable	type	Type
Observable	usage_categories	Catégories d'utilisation
Observable	valide	Valeur
Acteur de menace	alias	Alias
Acteur de menace	description	Description
Acteur de menace	first_seen	Premier observé
Acteur de menace	Objectifs de	Objectifs
Acteur de menace	last_seen	Dernier observé
Acteur de menace	nom	Nom
Acteur de menace	personal_motivations	Motivations personnelles
Acteur de menace	primary_motivation	Motivation principale
Acteur de menace	resource_level	Niveau de ressource
Acteur de menace	secondary_motivations	Motivations secondaires
Acteur de menace	Sophistication	Sophistication
Acteur de menace	threat_actor_roles	Rôles d'acteur de menace
Acteur de menace	threat_actor_types	Types d'acteurs de menace
Rapport de menace	description	Description
Rapport de menace	nom	Nom
Rapport de menace	publié	Publié
Rapport de menace	report_types	Types de rapports
Vulnérabilité	affected_software	Logiciel affecté
Vulnérabilité	description	Description
Vulnérabilité	exploitation_status	État d'exploitation
Vulnérabilité	exploit_exists	Un exploit existe
Vulnérabilité	nom	Nom
Vulnérabilité	publié	Publié
Vulnérabilité	record_last_modified	Dernière modification de l'enregistrement
Vulnérabilité	severity	Gravité

Vous trouverez ci-dessous la liste des champs système applicables qui sont communs à toutes les entités, et qui sont pris en charge dans la charge utile du déclencheur de webhook pour les déclencheurs de création et de mise à jour.

sys_id (ID système)
sys_created_on (créé)
sys_created_by (créé par)
sys_updated_on (mise à jour)
sys_updated_by (mis à jour par)

Remarque :

Pour la suppression, seul sys_id (ID système) est envoyé à l’URL du point de terminaison Webhook dans le cadre de la charge utile et les autres champs système ne sont pas pris en charge.

Tableau 3. Liste des champs pris en charge pour le déclencheur de suppression
Table	Nom de colonne	Étiquette de colonne
Observable	type	Type
Observable	valide	Valeur
Indicateur	nom	Nom
Indicateur	modèle	Modèle
Indicateur	pattern_type	Type de schéma
Indicateur	valid_from	Date de début de validité
Campagne	nom	Nom
Programme malveillant	is_family	Est la famille
Programme malveillant	nom	Nom
Acteur de menace	nom	Nom
Rapport de menace	nom	Nom
Rapport de menace	publié	Publié
Vulnérabilité	nom	Nom
Vulnérabilité	severity	Gravité