TISC-Playbook-Vorlagen
In diesem Abschnitt werden die Playbook-Vorlagen beschrieben, die mit der TISC-Sentinel-Lösung geliefert werden.
| Anwendungsfall | Playbook | Beschreibung |
|---|---|---|
| Erkennbare Elemente werden aus TISC in Sentinel importiert | Batch_Indicator_Uploader | Stellt einen Batchmechanismus für den Export erkennbarer Elemente aus TISC mithilfe der API zum Hochladen von Indikatoren bereit, die von Microsoft Sentinel bereitgestellt wird. |
| Import_Observables_Batch | Aktiviert den geplanten Export von erkennbaren Elementen aus TISC. | |
| Exportieren Sie Entitäten aus Sentinel nach TISC | Export_Incident_Entitäten | Exportieren Sie alle Entitäten eines Sentinel-Incidents. |
| Export_Hash_Entity | Exportieren Sie Datei-Hash-Entitäten des Sentinel-Incidents. | |
| Entitäten „Export_Domain_Entity“ | Exportieren Sie Domänenentitäten des Sentinel-Incidents. | |
| Export_IP_Entity | Exportieren Sie IP-Entitäten des Sentinel-Incidents. | |
| Export_URL_Entity | Exportieren Sie URL-Entitäten des Sentinel-Incidents. | |
| Bereichern Sie Sentinel-Incidents | Incident_Anreicherung | Aktiviert die Ergänzung von Sentinel-Incidents, indem Details zu Entitäten abgerufen werden, die ihm zugeordnet sind, und Informationen in Form von Kommentaren zum Incident veröffentlicht werden. |
Hinweis:
Alle Playbooks verwenden intern den anwenderdefinierten TISC-Connector, um TISC-APIs zu verwenden.
Erstellen Sie Playbooks aus Vorlagen
- Navigieren Sie zu T ISC-Lösung Inhaltsseite von Content Hub im Sentinel-Arbeitsbereich .
- Gehen Sie für jedes Playbook, das auf der Inhaltsseite angezeigt wird, wie folgt vor:
- Wählen Sie die Playbook-Vorlage aus. Auf der rechten Seite des Bildschirms wird ein Kontextbereich angezeigt. Klicken Sie auf Konfiguration .
- Lesen Sie die Beschreibung der Playbook-Vorlage, und gehen Sie durch Voraussetzungen Und Nach der Bereitstellung Schritte, die in der Beschreibung erwähnt werden.
- Klicken Sie auf Stellen Sie einen anwenderdefinierten Connector bereit (Wenn Sie den anwenderdefinierten Connector noch nicht bereitgestellt haben).
Fügen Sie hinzu ServiceNow-Instanz-URL Auf Bereitstellungskonfiguration Seite.
- Klicken Sie Auf Erstellen Sie Ein Playbook , Werden Sie zum Bildschirm „Bereitstellungskonfiguration“ weitergeleitet
- Auf dem Bildschirm „Playbook-Konfiguration erstellen“:
- Wählen Sie die entsprechende Ressourcengruppe aus.
- Ändern Sie den Playbook-Namen, oder verwenden Sie den Standardnamen.
- Geben Sie an name des anwenderdefinierten Connectors E (stellen Sie sicher, dass dies mit dem Namen des Connectors übereinstimmt, den Sie im vorherigen Schritt bereitgestellt haben) im Abschnitt „Parameter“.
- Klicken Sie Auf Überprüfen und erstellen .
Konfigurieren Sie das Playbook „Import_observables_Batch“
Stellen Sie sicher, dass Sie das Playbook „Batch_Indicator_Uploader“ erstellen, bevor das Playbook „Import_observables_Batch“ erstellt wird.
- Navigieren zu Zum Bearbeiten des Playbooks.
- Aktualisieren Sie die Wiederholungszeit (in Stunden) nach Bedarf.
- Aktualisieren Sie in der anwenderdefinierten TISC-Connector-Komponente im Playbook die Parameter, die an die TISC-API gesendet werden.
Parametername Beschreibung Erkennbarer Typ Im Folgenden sind die unterstützten Typen aufgeführt. Wählen Sie mindestens einen aus: - IP
- Datei-Hash
- Domäne
- URL
Bedrohungsbewertung Geben Sie die Bedrohungspunktzahl für erkennbare Elemente ein. Der Bedrohungspunktzahlwert MUSS eine Zahl im Bereich von 0–100 sein. Vertrauen Geben Sie die Konfidenz für erkennbare Elemente ein. Der Konfidenzwert MUSS eine Zahl im Bereich von 0–100 sein.
Reputation Die folgenden unterstützten Werte sind verfügbar. Wählen Sie mindestens einen Wert aus: - Clean
- Böswillig
- Verdächtig
- Unbekannt
Bedrohungsschweregrad Im Folgenden sind die unterstützten Schweregradstufen aufgeführt. Wählen Sie mindestens einen Schweregrad aus: - Kritisch
- Hoch
- Mittel
- Niedrig
Bedrohungsstufe Im Folgenden sind die unterstützten Bedrohungsstufen aufgeführt. Wählen Sie eine oder mehrere aus: - Hoch
- Mittel
- Niedrig
Zuletzt aktualisiertes Delta in Stunden Die letzte Aktualisierungszeit (in Stunden) für erkennbare Elemente.
Konfigurieren Sie das Playbook „Export_Incident_Entities“
Dieses Playbook verwendet die TISC-API „erkennbare Elemente hinzufügen“. Mit dem Logik-App-Designer können Sie die Parameter bearbeiten, die aus dem Playbook an die API gesendet werden. Weitere Informationen finden Sie unter TISC-API – POST /sn_sec_tisc/Threat_intel_Data/add_observables .
Sie können dasselbe Verfahren für alle unten aufgeführten Playbooks ausführen, die verschiedene Arten von Entitäten exportieren:
- Export_Hash_Entity
- Export_Domain_Entity
- Export_IP_Entity
- Export_URL_Entity
Konfigurieren Sie das Playbook „Incident_Enrichment“
Dieses Playbook verwendet die TISC-API erkennbarer Elemente. Mit dem Logik-App-Designer können Sie die Parameter bearbeiten, die aus dem Playbook an die API gesendet werden. Weitere Informationen finden Sie unter TISC-API – POST /sn_sec_tisc/Threat_intel_Data/observables .
Führen Sie Playbooks aus
Die folgende Tabelle beschreibt, wie Sie die folgenden Playbooks ausführen können.
| Playbook | Aktion |
|---|---|
| Import_Observables_Batch | Dieses Playbook wird automatisch basierend auf der geplanten Zeit ausgeführt, die im Wiederholungsauslöser erwähnt wird. |
| Export_Incident_Entitäten | Wählen Sie für einen Sentinel-Incident aus Zur Ausführung. |
| Export_Hash_Entity | Wählen Sie für einen Sentinel-Incident aus Zur Ausführung. |
| Export_Domain_Entity | Wählen Sie für einen Sentinel-Incident aus Zur Ausführung. |
| Export_IP_Entity | Wählen Sie für einen Sentinel-Incident aus Zur Ausführung. |
| Export_URL_Entity | Wählen Sie für einen Sentinel-Incident aus Zur Ausführung. |
| Incident_Anreicherung | Wählen Sie für einen Sentinel-Incident aus Zur Ausführung. |