観測事象を拡張 WhoIs ワークフロー
観測事象を拡張 WhoIs ワークフローは、選択された観測事象に対して拡張を実行します。観測事象が WhoisXML API との統合 で認識されるタイプであれば、拡張できます。
始める前に
必要なロール:admin
このタスクについて
このワークフローは、1 つ以上の観測事象で拡張を実行し、Whols 実装が選択されている場合に、Security Operations Integration - [観測事象を拡張] 機能 によりトリガーされます。
この統合に固有のアクティビティについては、ここで説明します。他のアクティビティの詳細については、「一般的な Security Operations Integration フローとオーケストレーションアクティビティ」を参照してください。
[観測事象の拡張ルックアップ] アクティビティ
[観測事象の拡張ルックアップ] ワークフローアクティビティは、観測事象の拡張プロセスを開始します。
[観測事象の拡張ルックアップ] アクティビティを任意の観測事象ワークフローで使用して、拡張を開始できます。
結果
このアクティビティの考えられる結果は次のとおりです。
| 結果 | 説明 |
|---|---|
| 成功 | ルックアップに成功しました。 |
| 失敗 | ルックアップの実行中にエラーが発生しました。その他のエラー情報は、アクティビティ出力エラーで確認できます。 |
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| Implementation_id | ルックアップの実行に使用される実装のシステム識別子。 |
| domain_id | ルックアップが実行されているドメインのドメイン識別子。 |
| observable_ids | 目的のアクションを実行する 1 つ以上の観測事象。ID はワークフロー入力として使用されます。 |
| capabilityExcutionId | 実装ワークフローを開始した機能のシステム識別子。Splunk や Elasticsearch などの統合機能実装ワークフローのみに必要です。 |
| task_sys_id | ワークフローに関連付けられたタスクのシステム識別子。 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| response_data | 指定されたドメインの実装の API エンドポイントによって返される生データ。 |
| mapping_id | 拡張マッピングの識別子。たとえば、WhoIs 統合は、IP と URL の 2 つの異なる形式で、それぞれのマッピング ID を返します。 |