Modelos de playbook de TISC

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Esta seção descreve os modelos de playbook que são enviados com a solução TISC Sentinel.

    Tabela 1. Casos de uso do playbookA tabela a seguir descreve os vários casos de uso de playbook.
    Caso de uso Playbook Descrição
    Importando observáveis do TISC para o Sentinel Batch_Indicator_Uploader Fornece mecanismo de envio em lote para exportar observáveis do TISC usando a API de indicadores de carregamento fornecida pelo Microsoft Sentinel.
    Importar_Batch_Observáveis Habilita a exportação agendada de observáveis do TISC.
    Exportar entidades do Sentinel para TISC Export_Incident_Entities Exporte todas as entidades de um incidente do Sentinel.
    Export_Hash_Entity Exporte entidades de hash de arquivo do incidente do Sentinel.
    Entidades Export_Domain_Entity Exporte entidades de domínio do incidente do Sentinel.
    Export_IP_Entity Exporte entidades IP do incidente do Sentinel.
    Export_URL_Entity Exporte entidades de URL do incidente do Sentinel.
    Aprimorar incidentes do Sentinel Incidente_Aprimoramento Habilita o enriquecimento de incidentes do Sentinel buscando detalhes relacionados a entidades associadas a ele e publicando informações na forma de comentários sobre o incidente.
    Nota:
    Todos os playbooks usam o TISC Custom Connector internamente para usar TISC APIs.

    Criar playbooks a partir de modelos

    1. Navegue até a página de conteúdoda Solução T ISC no Hub de conteúdo no Espaço do Sentinel.
    2. Para cada playbook mostrado na página de conteúdo, faça o seguinte:
      1. Selecione o modelo de playbook. Um painel de contexto será exibido no lado direito da tela. Clique em Configuração.
      2. Leia a descrição do modelo de playbook e siga as etapas de pré-requisitos e pós-implantação mencionadas na descrição.
      3. Clique em Implantar conector personalizado (se você ainda não implantou o conector personalizado).

        Adicione o URL da instância da ServiceNow na página Configuração de implantação.

      4. Clique em Criar Playbook. Você será direcionado para a tela de configuração de implantação
      5. Na tela de configuração Criar playbook:
        • Selecione o grupo de recursos apropriado.
        • Modifique o nome do playbook ou use o nome padrão.
        • Forneça o nome do conector personalizado(certifique-se de que corresponda ao nome do conector implantado na etapa anterior) na seção Parâmetros.
        • Clique em Revisar e criar.

    Configurar playbook Import_Observables_Batch

    Certifique-se de criar o playbook Batch_Indicator_Uploader antes que o playbook Import_Observables_Batch seja criado.
    1. Navegar até Designer de aplicações lógicas para editar o playbook.
    2. Atualize o Tempo de recorrência (em horas) conforme necessário.
    3. No componente do conector personalizado do TISC no playbook, atualize os parâmetros que são enviados para a API do TISC.
      Nome do Parâmetro Descrição
      Tipo de observável A seguir estão os tipos compatíveis, selecione um ou mais:
      • IP
      • Hash de Arquivo
      • Domínio
      • URL
      Pontuação de ameaça Insira a pontuação de ameaça para observáveis. O valor da pontuação de ameaça DEVE ser um número no intervalo de 0 a 100.
      Confiança Insira a confiança dos observáveis.

      O valor de confiança DEVE ser um número no intervalo de 0 a 100.
      Reputação A seguir estão os valores compatíveis, selecione um ou mais:
      • Limpar
      • Mal-intencionado
      • Suspeito
      • Desconhecido
      Gravidade da ameaça A seguir estão os níveis de severidade compatíveis, selecione um ou mais:
      • Crítico
      • Alto(a)
      • Média 
      • Baixo(a)
      Nível de ameaça A seguir estão os níveis de ameaça compatíveis, selecione um ou mais:
      • Alto 
      • Média 
      • Baixo(a)
      Última atualização de delta em horas A hora da última atualização (em horas) dos observáveis.

    Configurar playbook de Export_Incident_Entities

    Este playbook usa a API TISC Add observables. Usando o Designer de aplicações lógicas, você pode editar os parâmetros que são enviados para a API do playbook. Para obter mais informações, consulte TISC API - POST /sn_sec_tisc/threat_intel_data/add_observables.

    Você pode seguir o mesmo procedimento para todos os playbooks listados abaixo que exportam diferentes tipos de entidades:
    • Export_Hash_Entity
    • Export_Domain_Entity
    • Export_IP_Entity
    • Export_URL_Entity

    Configurar playbook Incident_Enrichment

    Este playbook usa a API de observáveis do TISC. Usando o Designer de aplicações lógicas, você pode editar os parâmetros que são enviados para a API do playbook. Para obter mais informações, consulte TISC API - POST /sn_sec_tisc/threat_intel_data/observables.

    Executar playbooks

    A tabela a seguir descreve como você pode executar os seguintes playbooks.
    Playbook Ação
    Importar_Batch_Observáveis Este playbook é executado automaticamente com base na hora programada mencionada no gatilho de recorrência.
    Export_Incident_Entities Em um incidente do Sentinel, selecione Ações de incidente > Executar playbook para execução.
    Export_Hash_Entity Em um incidente do Sentinel, selecione Entidade de hash de arquivo > Executar playbook para execução.
    Export_Domain_Entity Em um incidente do Sentinel, selecione Entidade de domínio > Executar playbook para execução.
    Export_IP_Entity Em um incidente do Sentinel, selecione Entidade IP > Executar playbook para execução.
    Export_URL_Entity Em um incidente do Sentinel, selecione Entidade de URL > Executar playbook para execução.
    Incidente_Aprimoramento Em um incidente do Sentinel, selecione Ações de incidente > Executar playbook para execução.