Der WorkflowSecurity Operations-Integration – Sichtungssuche ist ein allgemeiner Workflow, der von Integrationen unabhängig ist. Sie verwendet die konfigurierten Abfragen, um basierend auf den konfigurierten Integrationen, die diese Fähigkeit unterstützen, nach einer Reihe von erkennbaren Elementen zu suchen. Verwenden Sie es, um eine -Integration wie Splunk oder Elasticsearch zu erfüllen.

Warum und wann dieser Vorgang ausgeführt wird

Wenn einem Security Incident ein erkennbares Element angehängt ist, wird dieser Workflow ausgelöst, wenn Sie im Dropdown-Menü Aktionen für ausgewählte Zeilen... auf der Registerkarte Erkennbare Elemente des Security Incident auf Sichtungssuche ausführen klicken.

Zu den Workflow-Prozessaktivitäten gehören:

• Aktivität „Erkennbare Elemente“ bestimmen
• Ausführungsnachverfolgung: Start-Aktivität
• Timer-Workflow-Aktivität : Wartet eine Sekunde, um eine Sperre zu erhalten.
• Workflow-Aktivität sperren
• Filter für „Aufgeführte erkennbare Elemente zulassen“.
• Aktivität „Unterstützte Sicherheitsfähigkeiten abrufen“
• Nachverfolgung der Fähigkeitsausführung: Keine Implementierungsaktivität
• Entsperren Workflow Aktivität
• Aktivität „Sichtungsabfragen für erkennbares Element abrufen“.
• Nachverfolgung der Fähigkeitsausführung: Fehleraktivität
• Skript ausführen Workflow Aktivität
• Startprogramm für parallele Flows
• Wenn Workflow-Aktivität Wenn Workflow-Aktivität : Iterieren Sie, bis alle entsprechenden Workflows ausgeführt wurden, und speichern Sie die Ergebnisse in einem Array.
• Nachverfolgung der Fähigkeitsausführung – Aktivität abschließen

Spezifische Aktivitäten für diesen Workflow werden hier beschrieben. Weitere Informationen zu anderen Aktivitäten finden Sie unter Workflows bei der Integration von Common Security Operations und Orchestration-Aktivitäten.