Webhook-Auslöser

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Webhook-Auslöser werden verwendet, um die Threat Intelligence-Entitäten zu filtern, die für Ereignisänderungen wie Erstellen, Aktualisieren und Löschen nachverfolgt werden müssen.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administration.
    2. Auswahlvorgang Webhook-Konfigurationen > Wiederholungen.
      Die Seite „Webhooks-Auslöser“ wird angezeigt.
    3. Klicken Sie auf Neu.
      FeldBeschreibung
      Name Geben Sie einen Webhook-Auslösernamen ein.
      Beschreibung Fügen Sie die Beschreibung des Webhook-Auslösers hinzu.
      Tabelle Wählen Sie die Tabelle für den Webhook-Auslöser aus.
      Auslösertyp Definiert, ob der konfigurierte Webhook-Auslöser ein Ereignis zum Erstellen/Aktualisieren/Löschen in der angegebenen Tabelle ist.

      Auslöserfelder: Dies wird angezeigt, wenn Sie den Auslösertyp auswählen: Aktualisieren.

      Dies ist die Liste der Felder im Datensatz, für die das Aktualisierungsereignis nachverfolgt werden muss. Wenn dieses Feld leer ist, wird das Ereignis für jede Feldänderung im Datensatz berücksichtigt. Wenn die Auslöserfelder beispielsweise Konfidenz und Reputation für die Tabelle „Erkennbare Elemente“ sind, wird dieser Auslöser nur berücksichtigt, wenn Konfidenz- oder Reputationsfelder aktualisiert werden.
      Hinweis:
      Die in den Ausschlussfeldern ausgewählten Felder sind in der Auswahl der Auslöserfelder nicht verfügbar.

      Löschen: Wenn der Auslösertyp auf „Löschen“ festgelegt ist, sind die Ausschlussfelder nicht sichtbar.
      Ausschlussfelder Dies sind die Felder, die von der Nutzlast des Webhook-Auslösers ausgeschlossen sind.
      Filterbedingungen Optionale Bedingungen, die zum Filtern der Übereinstimmungsdatensätze für beliebige Ereignisauslöser angewendet werden können. Wenn beispielsweise der Schweregrad der Bedrohung hoch ist und der Auslösertyp als „Aktualisierung in der Tabelle erkennbarer Elemente“ definiert ist, werden nur die erkennbaren Elemente an die Webhook-URL gesendet, die geändert wurden und bei denen der Bedrohungsschweregrad hoch ist.
    4. Klicken Sie auf Speichern.
      Standardmäßig wird der Auslöser im Status „deaktiviert“ erstellt.
    5. Klicken Sie auf „Aktivieren“, um den Auslöser zu aktivieren. Dieser Auslöser steht dann den Webhooks zum Abonnieren zur Verfügung.
      Hinweis:
      Klicken Sie auf Deaktivieren, um den aktivierten Auslöser zu deaktivieren. Durch die Deaktivierung werden alle zugehörigen Webhooks von diesem Auslöser abgemeldet.
    6. Klicken Sie auf Beispielnutzlast anzeigen, um den Datensatz auszuwählen.
      Zeigen Sie die Beispielnutzlast dieses bestimmten Webhook-Auslösers an. Basierend auf der ausgewählten Tabelle werden die Datensätze aus der angegebenen Tabelle in der Dropdown-Liste „Datensatz auswählen“ gefüllt. Wählen Sie den Datensatz aus, um die Beispielnutzlast anzuzeigen. Die Beispielnutzlast wird im JSON-Format angezeigt. Die Felder in der Nutzlast sind unten aufgeführt.
    7. Wählen Sie den Typ des Datensatzes aus der Dropdown-Liste aus.
      Die Nutzlast wird basierend auf dem ausgewählten Datensatz automatisch geändert.
      {
    "record": "Observable",
    "record_fields": {
        "additional_context": "This could be a potential malicious IP. ",
        "attack_phases": "Lockheed Martin: Command and Control",
        "author": "Anomali",
        "confidence": "50",
        "description": "This could be a potential malicious IP. ",
        "expiration_time": "2024-12-01T00:00:00.000Z",
        "first_observed": "2024-01-01T00:00:00.000Z",
        "first_seen": "2024-01-01T00:00:00.000Z",
        "id": "ipv4-addr--70526b0a436a02102164e0ea78b8f210",
        "is_defanged": "false",
        "is_false_positive": "false",
        "last_observed": "2024-01-01T00:00:00.000Z",
        "last_seen": "2024-01-01T00:00:00.000Z",
        "reputation": "suspicious",
        "source_count": "1",
        "status": "active",
        "sys_created_by": "SecCommon.System",
        "sys_created_on": "2024-06-04T00:00:00.000Z",
        "sys_id": "30526b0a436a02102164e0ea78b8f210",
        "sys_updated_by": "system",
        "sys_updated_on": "2024-06-15T00:00:00.000Z",
        "tags": "critical",
        "taxonomies": "MITRE: T121",
        "threat_level": "medium",
        "threat_score": "24",
        "threat_severity": "medium",
        "tlp": "CLEAR",
        "type": "ip_v4_address",
        "usage_categories": "APT",
        "value": "116.98.170.70"
    },
    "trigger": {
        "name": "Observable Update",
        "type": "UPDATE",
        "trigger_time": "2024-07-26T07:27:29.000Z",
        "trigger_fields": [
            {
                "field_name": "confidence",
                "previous_value": "30",
                "current_value": "50"
            }
        ]
    }
}
      Tabelle : 1. Liste der Parameter in der Auslösernutzlast
      Parameter in der Nutzlast des Auslösers Typ Beschreibung
      record Zeichenfolge Gibt den Datensatztyp an, z. B. erkennbares Element oder Indikator.
      record_fields Objekt Gibt den Snapshot der Datensatzfelder an, wenn das Ereignis generiert wird. Eine Liste der unterstützten Felder finden Sie in der Tabelle im folgenden Abschnitt.
      Auslöser Objekt Gibt die übereinstimmenden Auslöserinformationen an.
      trigger.name Zeichenfolge Gibt den Namen des Auslösers an
      trigger.type Zeichenfolge Gibt den Typ des Auslösers an. Gültige Werte sind CREATE, UPDATE, DELETE.
      trigger.trigger_time Datum (im ISO-Format mit UTC-Zeitzone) Gibt die Zeit an, zu der das Ereignis im Datensatz aufgetreten ist.
      trigger_fields Array von Objekten Dies ist nur für den Auslösertyp UPDATE verfügbar. Gibt die Liste der Auslöserfelder an, die im Rahmen des aufgetretenen Ereignisses geändert wurden. Die Parameter in trigger_fields sind:
      • field_name: gibt den Feldnamen an, der geändert wurde
      • previous_value: liefert den vorherigen Wert des Felds
      • current_value: liefert den aktuellen Wert des Felds
      Tabelle : 2. Liste der unterstützten Felder für Erstellungs- und Aktualisierungsauslöser
      Tabelle Spaltenname Spaltenbezeichnung
      Kampagne Aliasse Aliase
      Kampagne description Beschreibung
      Kampagne first_seen Erstmals aufgetreten
      Kampagne last_seen Zuletzt aufgetreten
      Kampagne name Name
      Kampagne Ziel Ziel
      Indikator additional_context Zusätzlicher Kontext
      Indikator „attach_phases“ Angriffsphasen
      Indikator Autor Autor
      Indikator confidence Vertrauen
      Indikator description Beschreibung
      Indikator Ablaufzeit Ablaufzeit
      Indikator first_detected Zuerst erkannt
      Indikator first_observed Zuerst beobachtet
      Indikator first_seen Erstmals aufgetreten
      Indikator id ID
      Indikator indicator_types Indikatortypen
      Indikator ioc_classification IoC-Klassifizierung
      Indikator last_observed Zuletzt beobachtet
      Indikator last_seen Zuletzt aufgetreten
      Indikator name Name
      Indikator pattern Muster
      Indikator Pattern_Type Mustertyp
      Indikator Pattern_Version Musterversion
      Indikator Plattformen Plattformen
      Indikator widerrufen Widerrufen
      Indikator source_count Anzahl der Quellen
      Indikator spec_version Spezifikationsversion
      Indikator status Status
      Indikator tags TISC-Tags
      Indikator Taxonomien Taxonomien
      Indikator Threat_level Bedrohungsstufe
      Indikator Threat_severity Bedrohungsschweregrad
      Indikator tLP TLP
      Indikator „usage_categories“ Nutzungskategorien
      Indikator valid_from Gültig ab
      Indikator valid_until Gültig bis
      Malware Aliasse Aliase
      Malware „attach_phases“ Angriffsphasen
      Malware description Beschreibung
      Malware executable_process_architectures Prozessarchitekturen
      Malware first_seen Erstmals aufgetreten
      Malware Implementation_languages Implementierungssprachen
      Malware is_family Ist Familie
      Malware last_seen Zuletzt aufgetreten
      Malware Malware_capabilities Malware-Fähigkeiten
      Malware Malware_types Schadsoftwaretypen
      Malware name Name
      Objekt (gemeinsame Objektfelder) additional_context Zusätzlicher Kontext
      Objekt (gemeinsame Objektfelder) confidence Vertrauen
      Objekt (gemeinsame Objektfelder) Ablaufzeit Ablaufzeit
      Objekt (gemeinsame Objektfelder) id ID
      Objekt (gemeinsame Objektfelder) widerrufen Widerrufen
      Objekt (gemeinsame Objektfelder) source_count Anzahl der Quellen
      Objekt (gemeinsame Objektfelder) spec_version Spezifikationsversion
      Objekt (gemeinsame Objektfelder) status Status
      Objekt (gemeinsame Objektfelder) tags TISC-Tags
      Objekt (gemeinsame Objektfelder) Taxonomien Taxonomien
      Objekt (gemeinsame Objektfelder) Threat_level Bedrohungsstufe
      Objekt (gemeinsame Objektfelder) Threat_severity Bedrohungsschweregrad
      Objekt (gemeinsame Objektfelder) tLP TLP
      Erkennbares Element additional_context Zusätzlicher Kontext
      Erkennbares Element „attach_phases“ Angriffsphasen
      Erkennbares Element Autor Autor
      Erkennbares Element confidence Vertrauen
      Erkennbares Element description Beschreibung
      Erkennbares Element Ablaufzeit Ablaufzeit
      Erkennbares Element first_observed Zuerst beobachtet
      Erkennbares Element first_seen Erstmals aufgetreten
      Erkennbares Element id ID
      Erkennbares Element is_defanged Ist entsperrt
      Erkennbares Element is_false_positive Ist falsch positiv
      Erkennbares Element last_observed Zuletzt beobachtet
      Erkennbares Element last_seen Zuletzt aufgetreten
      Erkennbares Element Ruf Reputation
      Erkennbares Element source_count Anzahl der Quellen
      Erkennbares Element status Status
      Erkennbares Element tags TISC-Tags
      Erkennbares Element Taxonomien Taxonomien
      Erkennbares Element Threat_level Bedrohungsstufe
      Erkennbares Element Threat_score Bedrohungsbewertung
      Erkennbares Element Threat_severity Bedrohungsschweregrad
      Erkennbares Element tLP TLP
      Erkennbares Element Typ Typ
      Erkennbares Element „usage_categories“ Nutzungskategorien
      Erkennbares Element Wert Wert
      Bedrohungsakteur Aliasse Aliase
      Bedrohungsakteur description Beschreibung
      Bedrohungsakteur first_seen Erstmals aufgetreten
      Bedrohungsakteur goals Ziele
      Bedrohungsakteur last_seen Zuletzt aufgetreten
      Bedrohungsakteur name Name
      Bedrohungsakteur personal_motivations Persönliche Motivationen
      Bedrohungsakteur primary_motivation Primäre Motivation
      Bedrohungsakteur resource_level Ressourcenebene
      Bedrohungsakteur sekundäre_Motivationen Sekundäre Motivationen
      Bedrohungsakteur Ausgereiftheit Ausgereiftheit
      Bedrohungsakteur Threat_actor_roles Bedrohungsakteurrollen
      Bedrohungsakteur Threat_actor_types Bedrohungsakteurtypen
      Bedrohungsbericht description Beschreibung
      Bedrohungsbericht name Name
      Bedrohungsbericht Veröffentlicht Veröffentlicht
      Bedrohungsbericht report_types Berichtstypen
      Schwachstelle impacted_software Betroffene Software
      Schwachstelle description Beschreibung
      Schwachstelle Exploitation_status Nutzungsstatus
      Schwachstelle Exploit_existiert Exploit vorhanden
      Schwachstelle name Name
      Schwachstelle Veröffentlicht Veröffentlicht
      Schwachstelle record_last_modified Datensatz zuletzt geändert
      Schwachstelle Schweregrad Schweregrad
      Nachfolgend finden Sie die Liste der anwendbaren Systemfelder, die für jede Entität gelten und in der Webhook-Auslösernutzlast für die Auslöser „Erstellen“ und „Aktualisieren“ unterstützt werden.
      • sys_id (Sys-ID)
      • sys_created_on (Erstellt)
      • sys_created_by (Erstellt von)
      • sys_updated_on (Aktualisiert)
      • sys_updated_by (Aktualisiert von)
      Hinweis:
      Beim Löschen wird nur sys_id (Sys-ID) als Teil der Nutzlast an die Webhook-Endpunkt-URL gesendet, und andere Systemfelder werden nicht unterstützt.
      Tabelle : 3. Liste der unterstützten Felder für Löschauslöser
      Tabelle Spaltenname Spaltenbezeichnung
      Erkennbares Element Typ Typ
      Erkennbares Element Wert Wert
      Indikator name Name
      Indikator pattern Muster
      Indikator Pattern_Type Mustertyp
      Indikator valid_from Gültig ab
      Kampagne name Name
      Malware is_family Ist Familie
      Malware name Name
      Bedrohungsakteur name Name
      Bedrohungsbericht name Name
      Bedrohungsbericht Veröffentlicht Veröffentlicht
      Schwachstelle name Name
      Schwachstelle Schweregrad Schweregrad