Integração de Operações de segurança - Fluxo de trabalho de pesquisa de detecções
O fluxo de trabalhoIntegração de operações de segurança - Pesquisa de detecções é um fluxo de trabalho de alto nível independente de integrações. Ele usa as consultas configuradas para pesquisar um conjunto de observáveis com base nas integrações configuradas que oferecem suporte à capacidade. Use-o para atender a uma integração como Splunk ou Elasticsearch.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Se um incidente de segurança tiver um observável anexado a ele, este fluxo de trabalho será acionado quando você clicar em Executar pesquisa de detecções no menu suspenso Ações em linhas selecionadas... na guia Observáveis de incidentes de segurança.
- Atividade Determinar observáveis
- Acompanhamento de execução - Iniciar atividade
- Atividade de fluxo de trabalho Temporizador - Aguarda um segundo para obter um bloqueio.
- Bloquear atividade de fluxo de trabalho
- Filtrar observáveis da lista de permissões
- Atividade Obter capacidades de segurança compatíveis
- Acompanhamento de execução de capacidade - atividade sem implementações
- Desbloquear fluxo de trabalho atividade
- Atividade Obter consultas de detecções de observável
- Acompanhamento da execução da capacidade - Atividade com falha
- Executar script fluxo de trabalho atividade
- Inicializador de Fluxo paralelo
- Atividade de fluxo de trabalho IfAtividade de fluxo de trabalho If - Iterar até que todos os fluxos de trabalho apropriados tenham sido executados e armazenar os resultados em uma matriz.
- Acompanhamento da execução da capacidade - Concluir atividade
As atividades específicas deste fluxo de trabalho são descritas aqui. Para obter mais informações sobre outras atividades, consulte Fluxos de trabalho de integração de Operações de segurança comuns e atividades de orquestração.