Fluxos de trabalho e atividades de Orquestração de inteligência contra ameaças
O sistema básico inclui fluxos de trabalho e atividades de fluxo de trabalho que você pode usar para automatizar ações em sua instância.
Inteligência contra ameaças - Executar fluxo de trabalho de pesquisa de IoC
O fluxo de trabalho Inteligência contra ameaças - Executar pesquisa de IoC verifica se há um observável não expirado e, em caso afirmativo, a pesquisa é definida como Concluída e atualizada com os dados do observável.
Antes de Iniciar
Função necessária: sn_si.basic
Se uma pesquisa for inserida ou atualizada e atender às condições, a regra de negócios de pesquisa acionará este fluxo de trabalho.
Por Que e Quando Desempenhar Esta Tarefa
O fluxo de trabalho Inteligência contra ameaças - Executar pesquisa de IoC verifica se há um observável não expirado e, em caso afirmativo, a pesquisa é definida como Concluída e atualizada com os dados do observável. Todos os indicadores associados ao observável são reativados.
Se o observável estiver expirado, o fluxo de trabalho executará as pesquisas e incrementará a contagem de vistas no observável expirado existente.
Se não houver nenhum observável correlativo, um novo observável com indicador será criado.
- Preencher pesquisa com atividade observável
- Executar atividade de pesquisa de IoC
- Aguardar pesquisa (atividade principal)
- Atualizar observável com atividade de resultado de pesquisa
Preencher pesquisa com atividade observável
Se um observável não expirado for encontrado, a atividade de fluxo de trabalho Orquestração de inteligência contra ameaças - Preencher pesquisa com observável fornecerá dados de um observável existente para uma pesquisa. Esta atividade pode acelerar o processo de investigação e correção.
Quando acionado por uma pesquisa Preencher pesquisa com observável de fluxo de trabalho, tenta encontrar um observável existente para uma pesquisa que corresponda ao valor e ao tipo da pesquisa fornecida para a atividade como entrada.
Se o observável existir e não estiver expirado, esta atividade:
- Atualiza a pesquisa com as informações encontradas no observável
- Reativa um indicador se ele estiver inativo, incrementa a contagem de Encontradose atualiza a data da última exibição
- Define o Estado como Concluído.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável de entrada | Descrição |
|---|---|
| scanID[cadeia de caracteres] | identificador de pesquisa |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variáveis de saída | Descrição |
|---|---|
| Verdadeiro | Observável válido encontrado e pesquisa atualizada. |
| Falso | Observável válido não encontrado. O observável está ausente ou expirou. |
Executar atividade de pesquisa de IoC
A atividade de fluxo de trabalho Orquestração de inteligência contra ameaças - Executar pesquisa de IoC realiza uma determinada pesquisa. Esta atividade pode acelerar o processo de investigação e correção.
Quando acionado por um fluxo de trabalho, Executar pesquisa de IoC obtém um scanID, pesquisa o registro de pesquisa e adiciona a pesquisa à fila criando uma entrada de fila de pesquisa.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| scanID[cadeia de caracteres] | identificador de pesquisa |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| Verdadeiro | Acionou a pesquisa. |
| Falso | Não acionou a pesquisa. |
Atualizar observável com atividade de resultado de pesquisa
A atividade de fluxo de trabalho Orquestração de inteligência contra ameaças - Atualizar observável com resultado de pesquisa atualiza o registro do observável. Se não existir, ele criará um novo observável. Esta atividade é útil para registrar informações.
Quando acionado por um fluxo de trabalho, Atualizar observável com resultado de pesquisa atualiza um observável existente para incluir a nova Contagemde vistas , adiciona uma anotação e, se inativo, reativa todos os indicadores. A contagem de encontrados e a data da última exibição no indicador também são atualizadas.
Se não houver nenhum observável correlativo, o fluxo de trabalho criará um novo observável com o indicador da seguinte forma:
- Executa as pesquisas de IoC
- Cria um novo observável
- Cria um indicador para o observável
- Adiciona uma contagem de vistas ao observável
- Adiciona uma contagem de encontrados e a data da última exibição ao indicador
- Adiciona uma mensagem indicando a partir da qual a pesquisa foi criada
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| scanID[cadeia de caracteres] | Identificador de pesquisa. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| Verdadeiro | Atualização ou criação do observável bem-sucedida. |
| Falso | Falha na atualização ou criação do observável. |
Atividade Executar origens de pesquisa de IoC padrão
Quando acionado por um fluxo de trabalho, Inteligência contra ameaças - Executar origens de pesquisa IoC padrão obtém um ID de solicitação de pesquisa e cria várias pesquisas, dependendo dos valores de dados inseridos.
Para cada tipo de dados, a coluna de verificação include_in_bulk da tabela de tipo de pesquisa compatível de cada origem de pesquisa é avaliada. Se verdadeiro, uma pesquisa será adicionada à solicitação de pesquisa.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| id_scan_request | Pesquisar identificador do sistema de solicitação |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| Número de verificações criadas | Inteiro |