Threat Intelligence Orchestration 워크플로우 및 활동
기본 시스템에는 인스턴스에 대한 작업을 자동화하는 데 사용할 수 있는 워크플로우 및 워크플로우 활동이 포함됩니다.
위협 인텔리전스 - IoC 조회 워크플로우 실행
Threat Intelligence - Run IoC Lookup(Threat Intelligence - IoC 조회 실행) 워크플로는 만료되지 않은 옵저버블이 있는지 확인하고, 만료되지 않은 옵저버블이 있는 경우 조회가 완료(Complete)로 설정되고 옵저버블의 데이터로 업데이트됩니다.
시작하기 전에
필요한 역할: sn_si.basic
조회가 삽입 또는 업데이트되고 조건을 충족하면 조회 비즈니스 규칙이 이 워크플로우를 트리거합니다.
이 태스크 정보
Threat Intelligence - Run IoC Lookup(Threat Intelligence - IoC 조회 실행) 워크플로는 만료되지 않은 옵저버블이 있는지 확인하고, 만료되지 않은 옵저버블이 있는 경우 조회가 완료(Complete)로 설정되고 옵저버블의 데이터로 업데이트됩니다. 옵저버블과 연결된 모든 표시기가 다시 활성화됩니다.
옵저버블이 만료되면 워크플로우는 조회를 실행하고 만료된 기존 옵저버블의 사이팅 카운트 를 증가시킵니다.
상관 관계가 있는 옵저버블이 없으면 표시기가 있는 새 옵저버블이 생성됩니다.
- 옵저버블 활동으로 조회 채우기
- IoC 조회 활동 수행
- 조회 대기(핵심 활동)
- 조회 결과 활동으로 옵저버블 업데이트
옵저버블 활동으로 조회 채우기
만료되지 않은 옵저버블이 발견되면 Threat Intelligence Orchestration - 옵저버블로 조회 채우기 워크플로우 활동은 기존 옵저버블의 데이터를 조회에 제공합니다. 이 활동은 조사 및 정정 프로세스를 가속화할 수 있습니다.
워크플로우에 의해 트리거되는 경우: 활동에 입력으로 제공된 조회의 값 및 유형과 일치하는 조회에 대한 기존 옵저버블을 찾기 위해 옵저버블로 조회를 채웁니다.
옵저버블이 존재하고 만료되지 않은 경우 이 활동은 다음을 수행합니다.
- 옵저버블에 있는 정보로 조회를 업데이트합니다.
- 표시기가 비활성 상태인 경우 표시기를 다시 활성화하고, 발생 횟수를 증가시키고, 마지막으로 본 날짜를 업데이트합니다.
- 상태를 완료로 설정합니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 입력 변수 | 설명 |
|---|---|
| scanID[문자열] | 조회 식별자 |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 출력 변수 | 설명 |
|---|---|
| 예 | 유효한 옵저버블 및 업데이트된 조회를 찾았습니다. |
| 아니오 | 유효한 옵저버블을 찾지 못했습니다. 옵저버블이 누락되었거나 만료되었습니다. |
IoC 조회 활동 수행
Threat Intelligence Orchestration - IoC 조회 수행 워크플로우 활동은 지정된 조회를 수행합니다. 이 활동은 조사 및 정정 프로세스를 가속화할 수 있습니다.
워크플로우에 의해 트리거되면 IoC 조회 수행 은 scanID를 사용하고 조회 기록을 조회한 다음 조회 큐 항목을 생성하여 조회를 큐에 추가합니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| scanID[문자열] | 조회 식별자 |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| 예 | 조회를 트리거했습니다. |
| 아니오 | 조회를 트리거하지 않았습니다. |
조회 결과 활동으로 옵저버블 업데이트
Threat Intelligence 오케스트레이션 - 조회 결과로 옵저버블 업데이트 워크플로우 활동은 옵저버블 기록을 업데이트합니다. 옵저버블이 없는 경우 새 옵저버블을 생성합니다. 이 활동은 정보를 로깅하는 데 유용합니다.
워크플로우에 의해 트리거되는 경우 조회 결과로 옵저버블 업데이트 는 기존 옵저버블을 업데이트하여 새 사이팅 카운트를 포함하고, 메모를 추가하고, 비활성 상태인 경우 모든 표시기를 다시 활성화합니다. 표시기에서 발생한 횟수 와 마지막으로 본 날짜도 업데이트됩니다.
상관 관계가 있는 옵저버블이 없는 경우 워크플로우는 다음과 같이 표시기를 사용하여 새 옵저버블을 생성합니다.
- IoC 조회 실행
- 새 옵저버블 생성
- 옵저버블에 대한 표시기 생성
- 옵저버블에 관찰 카운트 추가
- 발생 횟수와 마지막으로 본 날짜를 표시기에 추가
- 작성된 조회를 나타내는 메시지를 추가합니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| scanID[문자열] | 조회 식별자입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| 예 | 옵저버블 업데이트 또는 생성에 성공했습니다. |
| 아니오 | 옵저버블을 업데이트하거나 생성하지 못했습니다. |
기본 IoC 조회 소스 활동 실행
워크플로우 위협 인텔리전스 에 의해 트리거되는 경우 - 기본 IoC 조회 소스 실행 은 조회 요청 ID를 가져오고 입력된 데이터 값에 따라 여러 조회를 만듭니다.
각 데이터 유형에 대해 각 조회 소스의 지원되는 조회 유형 테이블의 include_in_bulk 스캔 열이 평가됩니다. true이면 조회 요청에 조회가 추가됩니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| scan_request_id | 조회 요청 시스템 식별자 |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| 생성된 스캔 수 | 정수 |