Déclencheurs de webhook

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Les déclencheurs Webhook sont utilisés pour filtrer les entités Threat Intelligence qui doivent être suivies pour tout changement d’événement tel que Créer, Mettre à jour et Supprimer.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Tout > Threat Intelligence Security Center > Administration.
    2. Sélectionner Webhooks Configurations > Déclencheurs.
      La page Déclencheurs de webhooks s’affiche.
    3. Cliquez sur Nouveau.
      ChampDescription
      Nom Saisissez un nom de déclencheur webhook.
      Description Ajoutez la description du déclencheur de webhook.
      Table Sélectionnez la table pour le déclencheur webhook.
      Type de déclencheur Définit si le déclencheur de webhook configuré est créer/mettre à jour/supprimer un événement sur la table spécifiée.

      Champs de déclencheur : ceci s’affiche lorsque vous sélectionnez le type de déclencheur : Mettre à jour.

      Il s’agit de la liste des champs de l’enregistrement pour lesquels l’événement de mise à jour doit être suivi. Si ce champ est vide, l’événement est pris en compte pour tout changement de champ dans l’enregistrement. Par exemple, si les champs de déclencheur sont Confiance et Réputation pour la table Observables , ce déclencheur n’est pris en compte que lorsque les champs Confiance ou Réputation sont mis à jour.
      Remarque :
      Les champs sélectionnés dans les champs d’exclusion ne seront pas disponibles dans la sélection des champs de déclencheur.

      Supprimer : si le type de déclencheur : Supprimer , les champs d’exclusion ne sont pas visibles.
      Champs d’exclusion Il s’agit de l’ensemble des champs qui sont exclus de la charge utile du déclencheur webhook.
      Conditions de filtre Conditions facultatives qui peuvent être appliquées pour filtrer les enregistrements de correspondance pour n’importe quel déclencheur d’événement. Par exemple, si la gravité de la menace est élevée et que le type de déclencheur est défini comme Mettre à jour dans la table Observable, seuls les observables qui sont modifiés et où la gravité de la menace est élevée sont envoyés à l’URL Webhook.
    4. Cliquez sur Enregistrer.
      Par défaut, le déclencheur est créé à l’état désactivé.
    5. Cliquez sur Activer pour activer le déclencheur et ce déclencheur sera disponible pour que les webhooks s’abonnent.
      Remarque :
      Cliquez sur Désactiver pour désactiver le déclencheur activé. Sa désactivation désabonnera tous les webhooks associés à ce déclencheur.
    6. Cliquez sur Afficher l’exemple de charge utile pour sélectionner l’enregistrement.
      Affichez l’exemple de payload de ce déclencheur webhook particulier. En fonction de la table sélectionnée, les enregistrements de cette table spécifiée seront renseignés dans la liste déroulante Sélectionner un enregistrement . Sélectionnez l’enregistrement pour afficher l’exemple de charge utile. L’exemple de charge utile est affiché au format JSON. Les champs de la charge utile sont répertoriés ci-dessous.
    7. Sélectionnez le type d’enregistrement dans la liste déroulante.
      La charge utile sera automatiquement modifiée en fonction de l’enregistrement sélectionné.
      {
    "record": "Observable",
    "record_fields": {
        "additional_context": "This could be a potential malicious IP. ",
        "attack_phases": "Lockheed Martin: Command and Control",
        "author": "Anomali",
        "confidence": "50",
        "description": "This could be a potential malicious IP. ",
        "expiration_time": "2024-12-01T00:00:00.000Z",
        "first_observed": "2024-01-01T00:00:00.000Z",
        "first_seen": "2024-01-01T00:00:00.000Z",
        "id": "ipv4-addr--70526b0a436a02102164e0ea78b8f210",
        "is_defanged": "false",
        "is_false_positive": "false",
        "last_observed": "2024-01-01T00:00:00.000Z",
        "last_seen": "2024-01-01T00:00:00.000Z",
        "reputation": "suspicious",
        "source_count": "1",
        "status": "active",
        "sys_created_by": "SecCommon.System",
        "sys_created_on": "2024-06-04T00:00:00.000Z",
        "sys_id": "30526b0a436a02102164e0ea78b8f210",
        "sys_updated_by": "system",
        "sys_updated_on": "2024-06-15T00:00:00.000Z",
        "tags": "critical",
        "taxonomies": "MITRE: T121",
        "threat_level": "medium",
        "threat_score": "24",
        "threat_severity": "medium",
        "tlp": "CLEAR",
        "type": "ip_v4_address",
        "usage_categories": "APT",
        "value": "116.98.170.70"
    },
    "trigger": {
        "name": "Observable Update",
        "type": "UPDATE",
        "trigger_time": "2024-07-26T07:27:29.000Z",
        "trigger_fields": [
            {
                "field_name": "confidence",
                "previous_value": "30",
                "current_value": "50"
            }
        ]
    }
}
      Tableau 1. Liste des paramètres dans la charge utile du déclencheur
      Paramètre dans la charge utile du déclencheur Type Description
      enregistrement Chaîne Spécifie le type d’enregistrement, par exemple Observable ou Indicateur.
      record_fields Objet Spécifie l’instantané des champs d’enregistrement lorsque l’événement est généré. Pour obtenir la liste des champs pris en charge, consultez le tableau dans la section ci-dessous.
      déclencher Objet Spécifie les informations sur le déclencheur correspondant.
      trigger.name Chaîne Spécifie le nom du déclencheur
      type.déclencheur Chaîne Spécifie le type du déclencheur. Les valeurs valides sont CREATE, UPDATE, DELETE.
      trigger.trigger_time Date (au format ISO avec le fuseau horaire UTC) Spécifie l’heure à laquelle l’événement s’est produit sur l’enregistrement.
      trigger_fields Tableau d'objets Cette option n’est disponible que pour le type de déclencheur UPDATE. Il spécifie la liste des champs de déclencheur qui ont été modifiés dans le cadre de l’événement qui s’est produit. Les paramètres à l’intérieur trigger_fields sont les suivants :
      • field_name : fournit le nom du champ qui a été modifié
      • previous_value : fournit la valeur précédente du champ.
      • current_value : fournit la valeur actuelle du champ.
      Tableau 2. Liste des champs pris en charge pour la création et la mise à jour de déclencheurs
      Table Nom de colonne Étiquette de colonne
      Campagne Alias Alias
      Campagne description Description
      Campagne first_seen Premier vu
      Campagne last_seen Dernier observé
      Campagne name Nom
      Campagne objectif Objectif
      Indicateur additional_context Contexte supplémentaire
      Indicateur attack_phases Phases d'attaque
      Indicateur auteur Auteur
      Indicateur fiabilité Fiabilité
      Indicateur description Description
      Indicateur expiration_time Délai d'expiration
      Indicateur first_detected Premier détecté
      Indicateur first_observed Premier observé
      Indicateur first_seen Premier vu
      Indicateur id ID
      Indicateur indicator_types Types des indicateurs
      Indicateur ioc_classification Classification IOC
      Indicateur last_observed Derniers observés
      Indicateur last_seen Dernier observé
      Indicateur name Nom
      Indicateur modèle Modèle
      Indicateur pattern_type Type de modèle
      Indicateur pattern_version Version du modèle
      Indicateur Plates-formes Plateformes
      Indicateur Révoqué Révoqué
      Indicateur source_count Nombre de sources
      Indicateur spec_version Version de spéc.
      Indicateur statut Statut
      Indicateur balises Balises TISC
      Indicateur Taxonomies Taxonomies
      Indicateur threat_level Niveau de menace
      Indicateur threat_severity Gravité de la menace
      Indicateur Tlp TLP
      Indicateur usage_categories Catégories d'utilisation
      Indicateur valid_from Date de début de validité
      Indicateur valid_until Fin de validité
      Programme malveillant Alias Alias
      Programme malveillant attack_phases Phases d'attaque
      Programme malveillant description Description
      Programme malveillant executable_process_architectures Architectures de processus
      Programme malveillant first_seen Premier vu
      Programme malveillant implementation_languages Langues d'implémentation
      Programme malveillant is_family Est la famille
      Programme malveillant last_seen Dernier observé
      Programme malveillant malware_capabilities Options de logiciel malveillant
      Programme malveillant malware_types Types de programmes malveillants
      Programme malveillant name Nom
      Objet (champs d’objets communs) additional_context Contexte supplémentaire
      Objet (champs d’objets communs) fiabilité Fiabilité
      Objet (champs d’objets communs) expiration_time Délai d'expiration
      Objet (champs d’objets communs) id ID
      Objet (champs d’objets communs) Révoqué Révoqué
      Objet (champs d’objets communs) source_count Nombre de sources
      Objet (champs d’objets communs) spec_version Version de spéc.
      Objet (champs d’objets communs) statut Statut
      Objet (champs d’objets communs) balises Balises TISC
      Objet (champs d’objets communs) Taxonomies Taxonomies
      Objet (champs d’objets communs) threat_level Niveau de menace
      Objet (champs d’objets communs) threat_severity Gravité de la menace
      Objet (champs d’objets communs) Tlp TLP
      Observable additional_context Contexte supplémentaire
      Observable attack_phases Phases d'attaque
      Observable auteur Auteur
      Observable fiabilité Fiabilité
      Observable description Description
      Observable expiration_time Délai d'expiration
      Observable first_observed Premier observé
      Observable first_seen Premier vu
      Observable id ID
      Observable is_defanged Est neutralisé
      Observable is_false_positive Est un faux positif
      Observable last_observed Derniers observés
      Observable last_seen Dernier observé
      Observable réputation Réputation
      Observable source_count Nombre de sources
      Observable statut Statut
      Observable balises Balises TISC
      Observable Taxonomies Taxonomies
      Observable threat_level Niveau de menace
      Observable threat_score Score de menace
      Observable threat_severity Gravité de la menace
      Observable Tlp TLP
      Observable type Type
      Observable usage_categories Catégories d'utilisation
      Observable valide Valeur
      Acteur de menace Alias Alias
      Acteur de menace description Description
      Acteur de menace first_seen Premier vu
      Acteur de menace objectifs Objectifs
      Acteur de menace last_seen Dernier observé
      Acteur de menace name Nom
      Acteur de menace personal_motivations Motivations personnelles
      Acteur de menace primary_motivation Motivation principale
      Acteur de menace resource_level Niveau de ressource
      Acteur de menace secondary_motivations Motivations secondaires
      Acteur de menace sophistication Sophistication
      Acteur de menace threat_actor_roles Rôles d'acteur de menace
      Acteur de menace threat_actor_types Types d'acteurs de menace
      Rapport de menace description Description
      Rapport de menace name Nom
      Rapport de menace publié Publié
      Rapport de menace report_types Types de rapports
      Vulnérabilité affected_software Logiciel affecté
      Vulnérabilité description Description
      Vulnérabilité exploitation_status État d'exploitation
      Vulnérabilité exploit_exists Un exploit existe
      Vulnérabilité name Nom
      Vulnérabilité publié Publié
      Vulnérabilité record_last_modified Dernière modification de l'enregistrement
      Vulnérabilité severity Gravité
      Vous trouverez ci-dessous la liste des champs système applicables, communs à toutes les entités, et pris en charge dans la charge utile du déclencheur Webhook pour les déclencheurs Créer et Mettre à jour.
      • sys_id (ID système)
      • sys_created_on (créé)
      • sys_created_by (créé par)
      • sys_updated_on (mis à jour)
      • sys_updated_by (Mis à jour par)
      Remarque :
      Pour la suppression, seul sys_id (ID système) est envoyé à l’URL du point de terminaison Webhook dans le cadre de la charge utile et les autres champs système ne sont pas pris en charge.
      Tableau 3. Liste des champs pris en charge pour Supprimer le déclencheur
      Table Nom de colonne Étiquette de colonne
      Observable type Type
      Observable valide Valeur
      Indicateur name Nom
      Indicateur modèle Modèle
      Indicateur pattern_type Type de modèle
      Indicateur valid_from Début de validité
      Campagne name Nom
      Programme malveillant is_family Est la famille
      Programme malveillant name Nom
      Acteur de menace name Nom
      Rapport de menace name Nom
      Rapport de menace publié Publié
      Vulnérabilité name Nom
      Vulnérabilité severity Gravité