Enrichir le workflow WhoIs des observables

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Le workflow Enrichir les observables WhoIs effectue un enrichissement sur les observables sélectionnés. Si les observables sont d’un type reconnu par le WhoisXML API Integration, les observables sont enrichis.

    Avant de commencer

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Ce workflow est déclenché lorsque Intégration de Security Operations : aptitude d’enrichissement des observables vous procédez à l’enrichissement d’un ou de plusieurs observables et que l’implémentation WhoIs est sélectionnée.

    Figure 1. Enrichir le workflow WhoIs des observables
    Enrichir le workflow WhoIs des observables

    Les activités spécifiques à cette intégration sont décrites ici. Pour plus d’informations sur d’autres activités, voir Workflows d’intégration et activités d’orchestration courants pour Opérations de sécurité.

    Activité de recherche d’enrichissement d’observable

    L’activité de workflow Recherche d’enrichissement des observables lance le processus d’enrichissement des observables.

    L’activité de recherche d’enrichissement des observables peut être utilisée avec n’importe quel workflow d’observables pour commencer l’enrichissement.

    Résultats

    Les résultats possibles pour cette activité sont les suivants :

    Tableau 1. Résultats
    Résultat Description
    Réussite La recherche est réussie.
    Échec Une erreur s’est produite lors de la tentative de recherche. Plus d’informations sur l’erreur sont disponibles dans l’erreur de sortie d’activité.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.

    Variable Description
    implementation_id Identificateur système de l’implémentation utilisée pour effectuer la recherche.
    domain_id L’identificateur du domaine dans lequel la recherche est effectuée.
    observable_ids Un ou plusieurs observables sur lesquels effectuer l’action souhaitée. Les ID sont utilisés comme entrée de workflow.
    ID capacité d’exécution Identificateur système de l’aptitude qui a lancé le workflow d’implémentation. Requis uniquement pour les workflows d’implémentation d’aptitude d’intégration tels que Splunk, Elasticsearch.
    task_sys_id Identificateur système pour toute tâche associée au workflow.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.

    Tableau 2. Variables de sortie
    Variable Description
    response_data Données brutes renvoyées par le point de terminaison d’API de l’implémentation pour le domaine donné.
    mapping_id L’identificateur pour le mappage d’enrichissement. Par exemple, l’intégration WhoIs renvoie des données dans deux formats différents, IP et URL, avec un ID de mappage pour chacun.