Security Operations Integration - Le workflow de recherche de perceptions est un workflow de haut niveau indépendant des intégrations. Elle utilise les requêtes configurées pour rechercher un ensemble d’observables en fonction des intégrations configurées qui prennent en charge l’option. Utilisez-le pour exécuter une intégration telle que Splunk ou Elasticsearch.

Pourquoi et quand exécuter cette tâche

Si un observable est lié à un incident de sécurité, ce workflow est déclenché lorsque vous cliquez sur Exécuter la recherche de perception dans le menu déroulant Actions sur les lignes sélectionnées... dans l’onglet Observables d’incident de sécurité .

Les activités de processus du workflow comprennent :

• Activité Déterminer les observables
• Suivi des exécutions : commencer l’activité
• Activité de workflow du minuteur : attend une seconde avant d’obtenir un verrou.
• Verrouiller l’activité du workflow
• Filtrer les éléments observables répertoriés d’autorisation
• Activité Obtenir les options de sécurité prises en charge
• Suivi de l’exécution de l’aptitude : aucune activité Impls
• Déverrouiller workflow activité
• Activité Obtenir des requêtes de perceptions observables
• Suivi de l’exécution de l’aptitude : activité de défaillance
• Exécuter le script workflow activité
• Lanceur de flux parallèle
• Si l’activité du workflow : itérez jusqu’à ce que tous les workflows appropriés soient exécutés et stockez les résultats dans un tableau.
• Suivi de l’exécution de l’aptitude : terminer l’activité

Les activités spécifiques à ce workflow sont décrites ici. Pour plus d’informations sur d’autres activités, voir Activités courantes du workflow d’intégration.