Workflows et activités Orchestration de Threat Intelligence
Le système de base inclut des workflows et des activités de workflow que vous pouvez utiliser pour automatiser les actions sur votre instance.
Renseignements sur les menaces - Exécuter le workflow de recherche IoC
Le workflow Threat Intelligence : Exécuter une recherche IoC vérifie s’il existe un observable non expiré et, dans ce cas, la recherche est définie sur Terminée et mise à jour avec les données de l’observable.
Avant de commencer
Rôle requis : sn_si.basic
Si une recherche est insérée ou mise à jour et qu’elle répond aux conditions, la règle métier Rechercher déclenche ce workflow.
Pourquoi et quand exécuter cette tâche
Le workflow Threat Intelligence : Exécuter une recherche IoC vérifie s’il existe un observable non expiré et, dans ce cas, la recherche est définie sur Terminée et mise à jour avec les données de l’observable. Tous les indicateurs associés à l’observable sont réactivés.
Si l’observable a expiré, le workflow exécute les recherches et incrémente le nombre de perceptions dans l’observable existant et expiré.
S’il n’existe aucun observable corrélant, un nouvel observable avec indicateur est créé.
- Remplir la recherche avec une activité observable
- Effectuer une activité de recherche d’IoC
- Attendre la recherche (activité principale)
- Mettre à jour l’observable avec l’activité de résultat de la recherche
Remplir la recherche avec une activité observable
Si un observable non expiré est trouvé, l’activité de workflow Orchestration Threat Intelligence : remplir la recherche avec un observable fournit les données d’un observable existant à une recherche. Cette activité peut accélérer le processus d’investigation et de correction.
Lorsqu’elles sont déclenchées par un workflow Remplir la recherche avec des observables, tente de trouver un observable existant pour une recherche qui correspond à la valeur et au type de la recherche fournie à l’activité en tant qu’entrée.
Si l’observable existe et n’est pas expiré, cette activité :
- Met à jour la recherche avec les informations trouvées dans l’observable
- Réactive un indicateur s’il est inactif, incrémente le nombre de cas rencontrés et met à jour la date du dernier observé
- Définit l’état sur Terminé.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable d'entrée | Description |
|---|---|
| scanID[chaîne] | Rechercher un identificateur |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variables de sortie | Description |
|---|---|
| Vrai | Recherche trouvée valide et mise à jour. |
| Faux | Observable valide introuvable. L’observable est soit manquant, soit expiré. |
Effectuer une activité de recherche d’IoC
L’activité de workflow Orchestration - Effectuer une recherche IoC Orchestration Threat Intelligence effectue une recherche donnée. Cette activité peut accélérer le processus d’investigation et de correction.
Lorsqu’elle est déclenchée par un workflow, l’option Effectuer une recherche IoC prend un scanID, recherche l’enregistrement de recherche et ajoute la recherche à la file d’attente en créant une entrée de file d’attente de recherche.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| scanID[chaîne] | Rechercher un identificateur |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| Vrai | A déclenché la recherche. |
| Faux | N’a pas déclenché la recherche. |
Mettre à jour l’observable avec l’activité de résultat de la recherche
L’activité de workflow Orchestration de Threat Intelligence : mettre à jour un observable avec le résultat de la recherche met à jour l’enregistrement de l’observable. S’il n’en existe pas, il crée un nouvel observable. Cette activité est utile pour journaliser les informations.
Lorsqu’il est déclenché par un workflow Mettre à jour un observable avec résultat de recherche met à jour un observable existant pour inclure le nouveau nombre de perceptions, ajoute une note et, s’il est inactif, réactive tous les indicateurs. Le nombre de rencontres et la date du dernier observé dans l’indicateur sont également mis à jour.
S’il n’existe aucun observable corrélatif, le workflow crée un nouvel observable avec l’indicateur comme suit :
- Exécute les recherches IoC
- Crée un nouvel observable
- Crée un indicateur pour l’observable
- Ajoute un nombre de perceptions à l’observable
- Ajoute un nombre de rencontres et la date du dernier observé à l’indicateur
- Ajoute un message indiquant à partir de quelle recherche il a été créé
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| scanID[chaîne] | Rechercher un identificateur. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| Vrai | La mise à jour ou la création de l’observable est réussie. |
| Faux | Échec de la mise à jour ou de la création de l’observable. |
Exécuter l’activité Sources de recherche IoC par défaut
Lorsqu’elles sont déclenchées par un workflow, Renseignements sur les menacesExécuter les sources de recherche IoC par défaut enregistrent un ID de demande de recherche et créent plusieurs recherches en fonction des valeurs de données saisies.
Pour chaque type de données, la colonne d’analyse include_in_bulk de la table des types de recherche pris en charge de chaque source de recherche est évaluée. Si vrai, une recherche est ajoutée à la demande de recherche.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| scan_request_id | Rechercher l’identificateur système de la demande |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| Nombre d’analyses créées | Entier |