Webhook トリガー

チューリッヒセキュリティ管理

Release

zurich

ft:locale

ja-JP

ft:publication_title

チューリッヒセキュリティ管理

ft:clusterId

security

bundleId

security

workflow

Technology

Webhook トリガー

リリースバージョン: Zurich

更新日 2025年07月31日

所要時間：12分

Webhook トリガーは、作成、更新、削除などのイベント変更について追跡する必要がある脅威インテリジェンスエンティティをフィルタリングするために使用されます。

始める前に

必要なロール：sn_sec_tisc.admin

手順

移動先すべて > 脅威インテリジェンスセキュリティセンター > アドミニストレーション.
選択 Webhook 構成 > トリガー.
[Webhook トリガー] ページが表示されます。

[新規] をクリックします。

フィールド	説明
名前	Webhook トリガーの名前を入力します。
説明	Webhook トリガーの説明を追加します。
テーブル	Webhook トリガーのテーブルを選択します。
トリガータイプ	構成済みの Webhook トリガーが、指定されたテーブルでイベントの作成 / 更新 / 削除のどれを実行するのか定義します。トリガーフィールド：「トリガータイプ：更新」を選択した場合に表示されます。更新イベントの追跡が必要なレコードに関するフィールドのリストとなります。空白の場合、レコードのフィールドが変更されたときにイベントが検討されることになります。たとえば、トリガーフィールドが [観測事象] テーブルの [信頼性] と [評判] である場合、[信頼性] または [評判] フィールドが更新されたときにはじめてトリガーが検討されます。注: [除外フィールド] で選択したフィールドは、[トリガーフィールド] の選択で使用できません。削除：「トリガータイプ：削除」の場合、[除外] フィールドは表示されません。
[除外] フィールド	Webhook トリガーペイロードから除外されているフィールドのセットです。
フィルター条件	イベントトリガーの一致レコードをフィルタリングする際に適用可能なオプションの条件。たとえば、脅威の重大度が高く、観測事象テーブルの [トリガータイプ] が [更新] と定義されている場合、変化のある脅威の重大度が高い観測事象のみが Webhook URL に送信されます。

[保存] をクリックします。
デフォルトでは、トリガー作成時のステータスは「無効」です。
[有効化] をクリックしてトリガーを有効にすると、トリガーが Webhook で登録できるようになります。

注:
[無効化] をクリックして有効なトリガーを無効化すると、Webhook に関連付けられている登録がトリガーからすべて解除されます。
[サンプルペイロードを表示 (View Sample Payload)] をクリックしてレコードを選択します。
特定の Webhook トリガーのサンプルペイロードを表示します。選択したテーブルに基づいて、指定したテーブルのレコードが [レコードを選択] ドロップダウンリストに入力されます。サンプルペイロードを表示するレコードを選択します。サンプルペイロードが JSON 形式で表示されます。ペイロードのフィールドが以下のように一覧表示されます。

ドロップダウンリストからレコードのタイプを選択します。

ペイロードは、選択したレコードに応じて自動的に変更されます。

{
    "record": "Observable",
    "record_fields": {
        "additional_context": "This could be a potential malicious IP. ",
        "attack_phases": "Lockheed Martin: Command and Control",
        "author": "Anomali",
        "confidence": "50",
        "description": "This could be a potential malicious IP. ",
        "expiration_time": "2024-12-01T00:00:00.000Z",
        "first_observed": "2024-01-01T00:00:00.000Z",
        "first_seen": "2024-01-01T00:00:00.000Z",
        "id": "ipv4-addr--70526b0a436a02102164e0ea78b8f210",
        "is_defanged": "false",
        "is_false_positive": "false",
        "last_observed": "2024-01-01T00:00:00.000Z",
        "last_seen": "2024-01-01T00:00:00.000Z",
        "reputation": "suspicious",
        "source_count": "1",
        "status": "active",
        "sys_created_by": "SecCommon.System",
        "sys_created_on": "2024-06-04T00:00:00.000Z",
        "sys_id": "30526b0a436a02102164e0ea78b8f210",
        "sys_updated_by": "system",
        "sys_updated_on": "2024-06-15T00:00:00.000Z",
        "tags": "critical",
        "taxonomies": "MITRE: T121",
        "threat_level": "medium",
        "threat_score": "24",
        "threat_severity": "medium",
        "tlp": "CLEAR",
        "type": "ip_v4_address",
        "usage_categories": "APT",
        "value": "116.98.170.70"
    },
    "trigger": {
        "name": "Observable Update",
        "type": "UPDATE",
        "trigger_time": "2024-07-26T07:27:29.000Z",
        "trigger_fields": [
            {
                "field_name": "confidence",
                "previous_value": "30",
                "current_value": "50"
            }
        ]
    }
}

表 : 1. トリガーペイロードのパラメーターのリスト
トリガーペイロードのパラメーター	タイプ	説明
レコード	文字列	「観測事象」や「インジケーター」などのレコードタイプを指定します。
record_fields	オブジェクト	イベント生成時のレコードフィールドのスナップショットを指定します。サポートされているフィールドのリストについては、以下のセクションのテーブルを参照してください。
トリガー	オブジェクト	一致したトリガー情報を指定します。
trigger.name	文字列	トリガーの名前を指定します
trigger.type	文字列	トリガーのタイプを指定します。有効な値は、「CREATE」「UPDATE」「DELETE」となります。
trigger.trigger_time	日付 (UTC タイムゾーンの ISO 形式)	レコードのイベント発生時刻を指定します。
trigger_fields	オブジェクトのアレイ	UPDATE トリガータイプでのみ使用できます。イベント発生時に変更されたトリガーフィールドのリストを指定します。trigger_fields 内のパラメーターは次のとおりです。 field_name：変更されたフィールド名を提供します。 previous_value：フィールドの以前の値を提供します。 current_value：フィールドの現在の値を提供します。

表 : 2. [作成] および [更新] トリガーでサポートされているフィールドのリスト
テーブル	列名	列ラベル
キャンペーン	aliases	エイリアス
キャンペーン	description	説明
キャンペーン	first_seen	初回確認日
キャンペーン	last_seen	最終確認日
キャンペーン	name	名前
キャンペーン	objective	目的
インジケーター	additional_context	追加コンテキスト
インジケーター	attack_phases	攻撃フェーズ
インジケーター	author	作成者
インジケーター	信頼性	信頼性
インジケーター	description	説明
インジケーター	expiration_time	有効期限
インジケーター	first_detected	初回検出日
インジケーター	first_observed	初回観測日
インジケーター	first_seen	初回確認日
インジケーター	id	ID
インジケーター	indicator_types	インジケータータイプ
インジケーター	ioc_classification	IOC 分類
インジケーター	last_observed	最終観測日
インジケーター	last_seen	最終確認日
インジケーター	name	名前
インジケーター	pattern	パターン
インジケーター	pattern_type	パターンタイプ
インジケーター	pattern_version	パターンバージョン
インジケーター	platforms	プラットフォーム
インジケーター	revoked	取り消し
インジケーター	source_count	ソースの数
インジケーター	spec_version	仕様バージョン
インジケーター	status	ステータス
インジケーター	tags	TISC タグ
インジケーター	taxonomies	分類
インジケーター	threat_level	脅威レベル
インジケーター	threat_severity	脅威の重大度
インジケーター	tlp	TLP
インジケーター	usage_categories	使用率カテゴリ
インジケーター	valid_from	有効期間開始日
インジケーター	valid_until	有効期限
マルウェア	aliases	エイリアス
マルウェア	attack_phases	攻撃フェーズ
マルウェア	description	説明
マルウェア	executable_process_architectures	プロセスアーキテクチャ
マルウェア	first_seen	初回確認日
マルウェア	implementation_languages	実装言語
マルウェア	is_family	ファミリ
マルウェア	last_seen	最終確認日
マルウェア	malware_capabilities	マルウェア機能
マルウェア	malware_types	マルウェアタイプ
マルウェア	name	名前
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	additional_context	追加コンテキスト
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	信頼性	信頼性
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	expiration_time	有効期限
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	id	ID
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	revoked	取り消し
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	source_count	ソースの数
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	spec_version	仕様バージョン
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	status	ステータス
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	tags	TISC タグ
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	taxonomies	分類
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	threat_level	脅威レベル
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	threat_severity	脅威の重大度
オブジェクト ([一般的なオブジェクト(Common Object) ] フィールド)	tlp	TLP
観測事象	additional_context	追加コンテキスト
観測事象	attack_phases	攻撃フェーズ
観測事象	author	作成者
観測事象	信頼性	信頼性
観測事象	description	説明
観測事象	expiration_time	有効期限
観測事象	first_observed	初回観測日
観測事象	first_seen	初回確認日
観測事象	id	ID
観測事象	is_defanged	無力化済み
観測事象	is_false_positive	誤検出
観測事象	last_observed	最終観測日
観測事象	last_seen	最終確認日
観測事象	reputation	評判
観測事象	source_count	ソースの数
観測事象	status	ステータス
観測事象	tags	TISC タグ
観測事象	taxonomies	分類
観測事象	threat_level	脅威レベル
観測事象	threat_score	脅威スコア
観測事象	threat_severity	脅威の重大度
観測事象	tlp	TLP
観測事象	type	タイプ
観測事象	usage_categories	使用率カテゴリ
観測事象	value	値
攻撃者	aliases	エイリアス
攻撃者	description	説明
攻撃者	first_seen	初回確認日
攻撃者	goals	ゴール
攻撃者	last_seen	最終確認日
攻撃者	name	名前
攻撃者	personal_motivations	個人の動機
攻撃者	primary_motivation	プライマリ動機
攻撃者	resource_level	リソースレベル
攻撃者	secondary_motivations	セカンダリ動機
攻撃者	sophistication	洗練
攻撃者	threat_actor_roles	攻撃者ロール
攻撃者	threat_actor_types	攻撃者タイプ
脅威レポート	description	説明
脅威レポート	name	名前
脅威レポート	published	公開
脅威レポート	report_types	レポートタイプ
脆弱性	affected_software	影響を受けるソフトウェア
脆弱性	description	説明
脆弱性	exploitation_status	エクスプロイトステータス
脆弱性	exploit_exists	エクスプロイト有無
脆弱性	name	名前
脆弱性	published	公開
脆弱性	record_last_modified	最後に変更されたレコード
脆弱性	重大度	重大度

以下は、すべてのエンティティに共通する適用可能なシステムフィールドのリストです。これらは作成トリガーと更新トリガーの Webhook トリガーペイロードでサポートされています。

sys_id (Sys ID)
sys_created_on (作成済み)
sys_created_by (作成者)
sys_updated_on (更新済み)
sys_updated_by (更新者)

注:

削除の場合、sys_id (Sys ID) のみがペイロードの一部として Webhook エンドポイント URL に送信され、他のシステムフィールドはサポートされていません。

表 : 3. [削除] トリガーでサポートされているフィールドのリスト
テーブル	列名	列ラベル
観測事象	type	タイプ
観測事象	value	値
インジケーター	name	名前
インジケーター	pattern	パターン
インジケーター	pattern_type	パターンタイプ
インジケーター	valid_from	有効期間開始日
キャンペーン	name	名前
マルウェア	is_family	ファミリ
マルウェア	name	名前
攻撃者	name	名前
脅威レポート	name	名前
脅威レポート	published	公開
脆弱性	name	名前
脆弱性	重大度	重大度