Modèles de Playbook TISC

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

3 minutes de lecture

Cette section décrit les modèles de playbook fournis avec la solution TISC Sentinel.

Tableau 1. Cas d’utilisation de PlaybookLe tableau suivant décrit les différents cas d’utilisation de Playbook.
Cas d'utilisation	Playbook	Description
Importation d’observables de TISC vers Sentinel	Batch_Indicator_Uploader	Fournit un mécanisme de traitement par lots pour exporter des observables à partir de TISC à l’aide de l’API Charger des indicateurs fournie par Microsoft Sentinel.
Importation d’observables de TISC vers Sentinel	Import_Observables_Batch	Active l’exportation planifiée d’observables à partir de TISC.
Exporter des entités de Sentinel vers TISC	Export_Incident_Entities	Exporter toutes les entités d’un incident Sentinel.
	Export_Hash_Entity	Exporter les entités de hachage de fichier de l’incident Sentinel.
	Export_Domain_Entity entités	Exporter les entités de domaine de l’incident Sentinel.
	Export_IP_Entity	Exporter les entités IP de l’incident Sentinel.
	Export_URL_Entity	Exporter les entités URL de l’incident Sentinel.
Enrichir les incidents Sentinel	Incident_Enrichment	Permet l’enrichissement des incidents Sentinel en extrayant les détails relatifs aux entités qui y sont associées et en publiant des informations sous la forme de commentaires sur l’incident.

Remarque :

Tous les playbooks utilisent le connecteur personnalisé TISC en interne pour utiliser les API TISC.

Créer des playbooks à partir de modèles

Accédez à la page de contenu de lasolution T ISC à partir du concentrateur de contenu dans l’espace de travail Sentinel.
Pour chaque playbook affiché dans la page de contenu, procédez comme suit :
1. Sélectionnez le modèle de playbook, un volet contextuel s’affiche dans la partie droite de l’écran, cliquez sur Configuration.
2. Lisez la description du modèle de playbook, passez en revue les étapes Prérequis et Post déploiement mentionnées dans la description.
3. Cliquez sur Déployer un connecteur personnalisé (si vous n’avez pas déjà déployé le connecteur personnalisé).
  Ajoutez l’URL de l’instance ServiceNow sur la page Configuration du déploiement .
4. Cliquez sur Créer un playbook, vous serez redirigé vers l’écran de configuration du déploiement
5. Dans l’écran de configuration Créer un playbook :
  - Sélectionnez le groupe de ressources approprié.
  - Modifiez le nom du playbook ou utilisez le nom par défaut.
  - Indiquez le nom du connecteur personnalisée (assurez-vous que cela correspond au nom du connecteur que vous avez déployé à l’étape précédente) dans la section Paramètres.
  - Cliquez sur Examiner et créer.

Configurer Import_Observables_Batch playbook

Assurez-vous de créer Batch_Indicator_Uploader playbook avant la création du playbook Import_Observables_Batch.

Accédez à la Concepteur d’application logique pour modifier le playbook.
Mettez à jour la durée de récurrence (en heures) selon vos besoins.

À partir du composant Connecteur personnalisé TISC dans le playbook, mettez à jour les paramètres envoyés à l’API TISC.


Nom de paramètre	Description
Type d'observable	Les types pris en charge sont suivants, sélectionnez-en un ou plusieurs : IP Hachage de fichiers Domaine URL
Score de menace	Saisissez le score de menace pour les observables. La valeur du score de menace DOIT être un nombre compris entre 0 et 100.
Fiabilité	Entrez la confiance pour les observables. La valeur de confiance DOIT être un nombre compris entre 0 et 100.
Réputation	Les valeurs prises en charge sont les suivantes, sélectionnez-en une ou plusieurs : Nettoyer Malveillant Suspect Inconnu
Gravité de la menace	Les niveaux de gravité pris en charge sont les suivants, sélectionnez-en un ou plusieurs : Critique Élevé Moyenne Faible
Niveau de menace	Voici les niveaux de menace pris en charge, sélectionnez-en un ou plusieurs : Élevé Moyenne Faible
Dernière mise à jour du différentiel en heures	Heure de la dernière mise à jour (en heures) des observables.

Configurer Export_Incident_Entities playbook

Ce playbook utilise l’API Ajouter des observables TISC. À l’aide du concepteur d’application logique, vous pouvez modifier les paramètres envoyés à l’API à partir du playbook. Pour plus d’informations, consultez API TISC : POST /sn_sec_tisc/threat_intel_data/add_observables.

Vous pouvez suivre la même procédure pour tous les playbooks énumérés ci-dessous qui exportent différents types d’entités :

Export_Hash_Entity
Export_Domain_Entity
Export_IP_Entity
Export_URL_Entity

Configurer Incident_Enrichment playbook

Ce playbook utilise l’API Observables TISC. À l’aide du concepteur d’application logique, vous pouvez modifier les paramètres envoyés à l’API à partir du playbook. Pour plus d’informations, consultez API TISC : POST /sn_sec_tisc/threat_intel_data/observables.

Exécuter les playbooks

La table suivante décrit comment exécuter les playbooks suivants.


Playbook	Action
Import_Observables_Batch	Ce playbook s’exécute automatiquement en fonction de l’heure planifiée mentionnée dans le déclencheur de récurrence.
Export_Incident_Entities	Lors d’un incident Sentinel, sélectionner Actions d'incidents > Exécuter le playbook pour exécution.
Export_Hash_Entity	Lors d’un incident Sentinel, sélectionner Entité de hachage de fichier > Exécuter le playbook pour exécution.
Export_Domain_Entity	Lors d’un incident Sentinel, sélectionner Entité du domaine > Exécuter le playbook pour exécution.
Export_IP_Entity	Lors d’un incident Sentinel, sélectionner Entité IP > Exécuter le playbook pour exécution.
Export_URL_Entity	Lors d’un incident Sentinel, sélectionner Entité de l’URL > Exécuter le playbook pour exécution.
Incident_Enrichment	Lors d’un incident Sentinel, sélectionner Actions d'incidents > Exécuter le playbook pour exécution.