脅威インテリジェンスオーケストレーションのワークフローとアクティビティ
ベースシステムには、インスタンスでのアクションの自動化に使用できるワークフローとワークフローアクティビティが含まれています。
[脅威インテリジェンス - IoC ルックアップを実行 (Run IoC Lookup)] ワークフロー
[脅威インテリジェンス - IoC ルックアップを実行 (Run IoC Lookup)] ワークフローは、期限切れになっていない観測事象があるかどうかをチェックします。ある場合、ルックアップは [完了 (Complete)] に設定され、観測事象のデータで更新されます。
始める前に
必要なロール:sn_si.basic
ルックアップが挿入または更新され、条件を満たすと、ルックアップビジネスルールによってこのワークフローがトリガーされます。
このタスクについて
[脅威インテリジェンス - IoC ルックアップを実行 (Run IoC Lookup)] ワークフローは、期限切れになっていない観測事象があるかどうかをチェックします。ある場合、ルックアップは [完了 (Complete)] に設定され、観測事象のデータで更新されます。観測事象に関連付けられているインジケーターが再アクティブ化されます。
観測事象が期限切れの場合、ワークフローはルックアップを実行し、既存の期限切れの観測事象の [サイティング回数 (Sighting count)] を増やします。
相関する観測事象が存在しない場合、インジケーターがある新しい観測事象が作成されます。
- 観測事象アクティビティをルックアップに入力する
- IoC ルックアップアクティビティを実行する
- ルックアップ待ち (主要なアクティビティ)
- [ルックアップ結果によって観測事象を更新] アクティビティ
観測事象アクティビティをルックアップに入力する
期限切れになっていない観測事象が見つかった場合、 [脅威インテリジェンスオーケストレーション - 観測事象をルックアップに入力] ワークフローアクティビティが既存の観測事象からのデータをルックアップに入力します。このアクティビティにより、調査と修復のプロセスを迅速化できます。
ワークフローによってトリガーされると、[観測事象をルックアップに入力] は、入力としてアクティビティに提供されたルックアップの [値] と [タイプ] に一致するルックアップに対して、既存の観測事象の検索を試行します。
観測事象が存在し、期限切れになっていない場合、このアクティビティは次を実行します。
- 観測事象で見つかった情報でルックアップを更新します。
- インジケーターが非アクティブの場合は再アクティブ化し、[発生回数]を増加させ、[最終確認日] の日付を更新します。
- [ステータス] を [完了 (Complete)] に設定します。
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 入力変数 | 説明 |
|---|---|
| scanID[文字列] | ルックアップ識別子 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 出力変数 | 説明 |
|---|---|
| true | 有効な観測事象と更新されたルックアップが見つかりました。 |
| False | 有効な観測事象が見つかりませんでした。観測事象がないか、期限切れです。 |
IoC ルックアップアクティビティを実行する
[脅威インテリジェンスオーケストレーション - IoC ルックアップを実行] ワークフローアクティビティは、指定されたルックアップを実行します。このアクティビティにより、調査と修復のプロセスを迅速化できます。
ワークフローによってトリガーされると、[IoC ルックアップを実行] は scanID を取得してルックアップレコードを検索し、ルックアップキューエントリーを作成してキューにルックアップ追加します。
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| scanID[文字列] | ルックアップ識別子 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| true | ルックアップをトリガーしました。 |
| False | ルックアップをトリガーしませんでした。 |
[ルックアップ結果によって観測事象を更新] アクティビティ
[脅威インテリジェンスオーケストレーション - ルックアップ結果によって観測事象を更新] ワークフローアクティビティが観測事象レコードを更新します。存在しない場合は、新しい観測事象が作成されます。このアクティビティは、情報の記録に有効です。
ワークフローによってトリガーされると、[ルックアップ結果によって観測事象を更新] は、新しい [サイティング回数 (Sighting count)] を含めるように既存の観測事象を更新し、メモを追加し、非アクティブな場合はインジケーターを再アクティブ化します。インジケーターの [発生回数] および [最終確認日] の日付も更新されます。
相関する観測事象が存在しない場合、ワークフローは次のようにインジケーターを使用して新しい観測事象を作成します。
- IoC ルックアップを実行します
- 新しい観測事象を作成します
- 観測事象のインジケーターを作成します
- 観測事象に [サイティング回数 (Sighting count)] を追加します
- インジケーターに [発生回数] および [最終確認日] の日付を追加します
- ルックアップの作成元を示すメッセージを追加します
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| scanID[文字列] | ルックアップ識別子 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| true | 観測事象の更新または作成に成功しました。 |
| False | 観測事象の更新または作成に失敗しました。 |
[デフォルトの IoC ルックアップソースを実行] アクティビティ
脅威インテリジェンス - [デフォルトの IoC ルックアップソースを実行] は、ワークフローによってトリガーされると、ルックアップ要求 ID を取り込み、入力されたデータ値に応じて複数のルックアップを作成します。
データタイプごとに、各ルックアップソースのサポートされているルックアップタイプテーブルの [include_in_bulk scan] 列が評価されます。true の場合、ルックアップがルックアップ要求に追加されます。
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| scan_request_id | ルックアップ要求システムの識別子 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| スキャン作成数 | 整数 |