Gatilhos de webhook

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • Os gatilhos de webhook são usados para filtrar as entidades de inteligência contra ameaças que precisam ser rastreadas para quaisquer mudanças de evento, como Criar, Atualizar e Excluir.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Procedimento

    1. Navegar até Todos > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Configurações de Webhooks > Gatilhos.
      A página Gatilhos de Webhooks é exibida.
    3. Clique em Nova.
      CampoDescrição
      Nome Insira um nome de gatilho de webhook.
      Descrição Adicione a descrição do gatilho do webhook.
      Tabela Selecione a tabela para o gatilho do webhook.
      Tipo de gatilho Define se o gatilho de webhook configurado é um evento de criação/atualização/exclusão na tabela especificada.

      Campos de gatilho: isso é exibido quando você seleciona o Tipo de gatilho: Atualizar.

      Esta é a lista de campos no registro para o qual o evento de atualização precisa ser rastreado. Se estiver vazio, o evento será considerado para qualquer mudança de campo no registro. Por exemplo, se os campos de gatilho forem Confiança e Reputação para a tabela Observáveis, esse gatilho será considerado somente quando os campos de confiança ou reputação forem atualizados.
      Nota:
      Os campos selecionados nos Campos de exclusão não estarão disponíveis na seleção de Campos de gatilho.

      Excluir: se o Tipo de gatilho: Excluir, os Campos de exclusão não ficarão visíveis.
      Campos de exclusão Este é o conjunto de campos que são excluídos da carga do gatilho do webhook.
      Condições do filtro Condições opcionais que podem ser aplicadas para filtrar os registros de correspondência de qualquer gatilho de evento. Por exemplo, se a gravidade da ameaça for alta e o tipo de gatilho estiver definido como Atualizar na tabela do observável, somente os observáveis que foram alterados e em que a gravidade da ameaça é alta serão enviados para a URL do webhook.
    4. Clique em Salvar.
      Por padrão, o gatilho é criado no estado desabilitado.
    5. Clique em Habilitar para habilitar o gatilho e este gatilho estará disponível para os webhooks assinarem.
      Nota:
      Clique em Desabilitar para desabilitar o gatilho habilitado e desabilitar cancelará a assinatura de todos os webhooks associados deste gatilho.
    6. Clique em Exibir carga de amostra para selecionar o registro.
      Exiba a carga de amostra desse gatilho de webhook específico. Com base na tabela selecionada, os registros dessa tabela especificada serão preenchidos na lista suspensa Selecionar registro. Selecione o registro para exibir a carga de amostra. A carga de amostra é mostrada no formato JSON. Os campos na carga estão listados abaixo.
    7. Selecione o tipo de registro na lista suspensa.
      A carga útil será alterada automaticamente com base no registro selecionado.
      {
    "record": "Observable",
    "record_fields": {
        "additional_context": "This could be a potential malicious IP. ",
        "attack_phases": "Lockheed Martin: Command and Control",
        "author": "Anomali",
        "confidence": "50",
        "description": "This could be a potential malicious IP. ",
        "expiration_time": "2024-12-01T00:00:00.000Z",
        "first_observed": "2024-01-01T00:00:00.000Z",
        "first_seen": "2024-01-01T00:00:00.000Z",
        "id": "ipv4-addr--70526b0a436a02102164e0ea78b8f210",
        "is_defanged": "false",
        "is_false_positive": "false",
        "last_observed": "2024-01-01T00:00:00.000Z",
        "last_seen": "2024-01-01T00:00:00.000Z",
        "reputation": "suspicious",
        "source_count": "1",
        "status": "active",
        "sys_created_by": "SecCommon.System",
        "sys_created_on": "2024-06-04T00:00:00.000Z",
        "sys_id": "30526b0a436a02102164e0ea78b8f210",
        "sys_updated_by": "system",
        "sys_updated_on": "2024-06-15T00:00:00.000Z",
        "tags": "critical",
        "taxonomies": "MITRE: T121",
        "threat_level": "medium",
        "threat_score": "24",
        "threat_severity": "medium",
        "tlp": "CLEAR",
        "type": "ip_v4_address",
        "usage_categories": "APT",
        "value": "116.98.170.70"
    },
    "trigger": {
        "name": "Observable Update",
        "type": "UPDATE",
        "trigger_time": "2024-07-26T07:27:29.000Z",
        "trigger_fields": [
            {
                "field_name": "confidence",
                "previous_value": "30",
                "current_value": "50"
            }
        ]
    }
}
      Tabela 1. Lista de parâmetros na carga do gatilho
      Parâmetro na carga do gatilho Tipo Descrição
      registro Cadeia de caracteres Especifica o tipo de registro, como Observável ou Indicador.
      registros_campos Objeto Especifica o snapshot dos campos de registro quando o evento é gerado. Para obter a lista de campos compatíveis, consulte a tabela na seção abaixo.
      gatilho Objeto Especifica as informações do gatilho correspondente.
      trigger.name Cadeia de caracteres Especifica o nome do gatilho
      gatilho.tipo Cadeia de caracteres Especifica o tipo do gatilho. Os valores válidos são CRIAR, ATUALIZAR, EXCLUIR.
      gatilho.tempo_gatilho Data (no formato ISO com fuso horário UTC) Especifica a hora em que o evento ocorreu no registro.
      campos_gatilho Matriz de objetivos Disponível somente para o tipo de gatilho UPDATE. Ele especifica a lista de campos de gatilho que foram alterados como parte da ocorrência do evento. Os parâmetros dentro de trigger_fields são:
      • field_name: fornece o nome do campo que foi alterado
      • opened_value: fornece o valor anterior do campo.
      • current_value: fornece o valor atual do campo.
      Tabela 2. Lista de campos compatíveis para criar e atualizar gatilhos
      Tabela Nome da Coluna Rótulo da Coluna
      Campanha aliases Aliases
      Campanha descrição Descrição
      Campanha first_seen Visto pela primeira vez
      Campanha last_seen Visto pela última vez
      Campanha nome Nome
      Campanha objetivo Objetivo
      Indicador adicional_context Contexto adicional
      Indicador fases_ataque Fases de ataque
      Indicador autor Autor
      Indicador confiança Confiança
      Indicador descrição Descrição
      Indicador expiração_hora Tempo de expiração
      Indicador first_detected Detectado pela primeira vez
      Indicador first_observed Observado pela primeira vez
      Indicador first_seen Visto pela primeira vez
      Indicador ID ID
      Indicador tipos_de_indicadores Tipos de Indicador
      Indicador ioc_classification Classificação IOC
      Indicador last_observed Última observação
      Indicador last_seen Visto pela última vez
      Indicador nome Nome
      Indicador padrão Padrão
      Indicador padrão_tipo Tipo de padrão
      Indicador padrão_versão Versão do padrão
      Indicador plataformas Plataformas
      Indicador revogado Revogado
      Indicador source_count Nº de origens
      Indicador especificação_versão Versão de especificação
      Indicador status Status
      Indicador marcadores Marcadores de TISC
      Indicador taxonomias Taxonomias
      Indicador nível_de_ameaça Nível de ameaça
      Indicador ameaça_severidade Gravidade da ameaça
      Indicador TLP TLP
      Indicador uso_categorias Categorias de uso
      Indicador valid_from Válido de
      Indicador válido_até Válido Até
      Malware aliases Aliases
      Malware fases_ataque Fases de ataque
      Malware descrição Descrição
      Malware executable_process_architectures Arquiteturas de processo
      Malware first_seen Visto pela primeira vez
      Malware implementação_idiomas Idiomas de implementação
      Malware é_família É família
      Malware last_seen Visto pela última vez
      Malware malware_capacidades Capacidades do malware
      Malware tipos_de_malware Tipos de malware
      Malware nome Nome
      Objeto (campos de objeto comum) adicional_context Contexto adicional
      Objeto (campos de objeto comum) confiança Confiança
      Objeto (campos de objeto comum) expiração_hora Tempo de expiração
      Objeto (campos de objeto comum) ID ID
      Objeto (campos de objeto comum) revogado Revogado
      Objeto (campos de objeto comum) source_count Nº de origens
      Objeto (campos de objeto comum) especificação_versão Versão de especificação
      Objeto (campos de objeto comum) status Status
      Objeto (campos de objeto comum) marcadores Marcadores de TISC
      Objeto (campos de objeto comum) taxonomias Taxonomias
      Objeto (campos de objeto comum) nível_de_ameaça Nível de ameaça
      Objeto (campos de objeto comum) ameaça_severidade Gravidade da ameaça
      Objeto (campos de objeto comum) TLP TLP
      Observável adicional_context Contexto adicional
      Observável fases_ataque Fases de ataque
      Observável autor Autor
      Observável confiança Confiança
      Observável descrição Descrição
      Observável expiração_hora Tempo de expiração
      Observável first_observed Observado pela primeira vez
      Observável first_seen Visto pela primeira vez
      Observável ID ID
      Observável está_deformado Está danificado
      Observável é_falso_positivo É falso-positivo
      Observável last_observed Última observação
      Observável last_seen Visto pela última vez
      Observável reputação Reputação
      Observável source_count Nº de origens
      Observável status Status
      Observável marcadores Marcadores de TISC
      Observável taxonomias Taxonomias
      Observável nível_de_ameaça Nível de ameaça
      Observável pontuação_ameaça Pontuação de ameaça
      Observável ameaça_severidade Gravidade da ameaça
      Observável TLP TLP
      Observável tipo Tipo
      Observável uso_categorias Categorias de uso
      Observável valor Valor
      Agente da ameaça aliases Aliases
      Agente da ameaça descrição Descrição
      Agente da ameaça first_seen Visto pela primeira vez
      Agente da ameaça objetivos Objetivos
      Agente da ameaça last_seen Visto pela última vez
      Agente da ameaça nome Nome
      Agente da ameaça motivações_pessoais Motivações pessoais
      Agente da ameaça motivação_primária Motivação primária
      Agente da ameaça resource_level Nível de recurso
      Agente da ameaça motivações_secundárias Motivações secundárias
      Agente da ameaça sofisticação Sofisticação
      Agente da ameaça Ameaça_ator_roles Funções de agente da ameaça
      Agente da ameaça ameaça_actor_types Tipos de Agente da Ameaça
      Relatório de ameaças descrição Descrição
      Relatório de ameaças nome Nome
      Relatório de ameaças publicado Publicado
      Relatório de ameaças tipos_de_relatórios Tipos de relatório
      Vulnerabilidade software_afetado Software afetado
      Vulnerabilidade descrição Descrição
      Vulnerabilidade exploração_status Status de exploração
      Vulnerabilidade exploit_exist Explorar Itens Existentes
      Vulnerabilidade nome Nome
      Vulnerabilidade publicado Publicado
      Vulnerabilidade registro_último_modificado Última modificação do registro
      Vulnerabilidade severidade Gravidade
      Abaixo está a lista de campos do sistema aplicáveis que são comuns a todas as entidades e são compatíveis com a Carga do gatilho do Webhook para gatilhos de criação e atualização.
      • sys_id (SYS ID)
      • sys_created_on (Criado)
      • sys_created_by (Criado por)
      • sys_updated_on (Atualizado)
      • sys_updated_by (Atualizado por)
      Nota:
      Para Excluir, somente sys_id (SYS ID) é enviado para a URL do endpoint do webhook como parte da carga útil e outros campos do sistema não são compatíveis.
      Tabela 3. Lista de campos compatíveis com o gatilho Excluir
      Tabela Nome da Coluna Rótulo da Coluna
      Observável tipo Tipo
      Observável valor Valor
      Indicador nome Nome
      Indicador padrão Padrão
      Indicador padrão_tipo Tipo de padrão
      Indicador valid_from Válido de
      Campanha nome Nome
      Malware é_família É família
      Malware nome Nome
      Agente da ameaça nome Nome
      Relatório de ameaças nome Nome
      Relatório de ameaças publicado Publicado
      Vulnerabilidade nome Nome
      Vulnerabilidade severidade Gravidade