TISC 플레이북 템플릿

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 이 섹션에서는 TISC Sentinel 솔루션과 함께 제공되는 플레이북 템플릿에 대해 설명합니다.

    표 1. 플레이북 사용 사례다음 테이블에서는 다양한 플레이북 사용 사례를 설명합니다.
    사용 케이스 플레이북 설명
    TISC에서 Sentinel로 옵저버블 임포트 Batch_Indicator_Uploader Microsoft Sentinel에서 제공하는 업로드 표시기 API를 사용하여 TISC에서 옵저버블을 내보내기 위한 일괄 처리 메커니즘을 제공합니다.
    Import_Observables_Batch TISC에서 옵저버블의 예약된 익스포트를 활성화합니다.
    Sentinel에서 TISC로 엔터티 익스포트 Export_Incident_Entities Sentinel 인시던트의 모든 엔터티를 익스포트합니다.
    Export_Hash_Entity Sentinel 인시던트의 파일 해시 엔터티를 익스포트합니다.
    Export_Domain_Entity 엔터티 Sentinel 인시던트의 도메인 엔터티를 익스포트합니다.
    Export_IP_Entity Sentinel 인시던트의 IP 엔터티를 익스포트합니다.
    Export_URL_Entity Sentinel 인시던트의 URL 엔터티를 익스포트합니다.
    Sentinel 인시던트 보강 Incident_Enrichment Sentinel과 연결된 엔터티와 관련된 상세 정보를 가져오고 인시던트에 대한 설명 형식으로 정보를 게시하여 Sentinel 인시던트를 보강할 수 있습니다.
    주:
    모든 플레이북은 내부적으로 TISC 사용자 지정 커넥터를 사용하여 TISC API를 사용합니다.

    템플릿에서 플레이북 생성

    1. Sentinel 작업 공간의 콘텐츠 허브에서 TISC 솔루션 콘텐츠 페이지로 이동합니다.
    2. 컨텐츠 페이지에 표시된 각 플레이북에 대해 다음을 수행합니다.
      1. 플레이북 템플릿을 선택하면 화면 오른쪽에 컨텍스트 창이 표시되면 구성을 클릭합니다.
      2. 플레이북 템플릿에 대한 설명을 읽고 설명에 언급된 필요 조건배포 후 단계를 진행합니다.
      3. 사용자 지정 커넥터 배포를 클릭합니다(사용자 지정 커넥터를 아직 배포하지 않은 경우).

        배포 구성 페이지에서 ServiceNow 인스턴스 URL을 추가합니다.

      4. 플레이북 생성을 클릭하면 배포 구성 화면으로 이동합니다.
      5. 플레이북 구성 생성 화면에서 다음을 수행합니다.
        • 적절한 자원 그룹을 선택합니다.
        • 플레이북 이름을 수정하거나 기본 이름을 사용합니다.
        • 매개변수 섹션에 사용자 지정 커넥터 이름을제공합니다(이전 단계에서 배포한 커넥터의 이름과 일치하는지 확인).
        • 검토 및 생성을 클릭합니다.

    Import_Observables_Batch Playbook 구성

    Import_Observables_Batch 플레이북Batch_Indicator_Uploader 생성하기 전에 플레이북을 생성해야 합니다.
    1. 다음으로 이동 논리 앱 디자이너 플레이북을 편집합니다.
    2. 필요에 따라 반복 시간(시간)을 업데이트합니다.
    3. 플레이북 내의 TISC 사용자 지정 커넥터 구성요소에서 TISC API로 전송되는 매개변수를 업데이트합니다.
      매개변수 이름 설명
      관찰 대상 유형 지원되는 유형은 다음과 같습니다. 하나 이상을 선택하십시오.
      • IP
      • 파일 해시
      • 도메인
      • URL
      위협 점수 옵저버블에 대한 위협 점수를 입력합니다. 위협 점수 값은 0-100 범위의 숫자여야 합니다(MUST).
      신뢰도 옵저버블에 대한 신뢰도를 입력합니다.

      신뢰도 값은 0-100 범위의 숫자여야 합니다(MUST).
      평판 지원되는 값은 다음과 같습니다. 하나 이상을 선택하십시오.
      • 정리
      • 악성
      • 의심스러움
      • 알 수 없음
      위협 심각성 지원되는 심각도 수준은 다음과 같습니다. 하나 이상을 선택하십시오.
      • 중요
      • 높음
      • 보통
      • 낮음
      위협 수준 지원되는 위협 수준은 다음과 같습니다. 하나 이상을 선택하십시오.
      • 높음
      • 보통
      • 낮음
      마지막으로 업데이트된 델타(시간) 옵저버블에 대한 마지막 업데이트 시간(시간)입니다.

    Export_Incident_Entities Playbook 구성

    이 플레이북에서는 TISC 옵저버블 추가 API를 사용합니다. 논리 앱 디자이너를 사용하여 플레이북에서 API로 전송되는 매개 변수를 편집할 수 있습니다. 자세한 내용은 TISC API - POST /sn_sec_tisc/threat_intel_data/add_observables를 참조하십시오.

    다양한 유형의 엔터티를 익스포트하는 아래 나열된 모든 플레이북에 대해 동일한 절차를 따를 수 있습니다.
    • Export_Hash_Entity
    • Export_Domain_Entity
    • Export_IP_Entity
    • Export_URL_Entity

    Incident_Enrichment Playbook 구성

    이 플레이북에서는 TISC 옵저버블 API를 사용합니다. 논리 앱 디자이너를 사용하여 플레이북에서 API로 전송되는 매개 변수를 편집할 수 있습니다. 자세한 내용은 TISC API - POST /sn_sec_tisc/threat_intel_data/observables를 참조하십시오.

    Playbook 실행

    다음 테이블에서는 다음 플레이북을 실행할 수 있는 방법을 설명합니다.
    플레이북 작업
    Import_Observables_Batch 이 플레이북은 반복 트리거에 언급된 예약된 시간을 기준으로 자동으로 실행됩니다.
    Export_Incident_Entities Sentinel 인시던트에서 인시던트 작업 > 플레이북 실행 실행을 위해.
    Export_Hash_Entity Sentinel 인시던트에서 파일 해시 엔터티 > 플레이북 실행 실행을 위해.
    Export_Domain_Entity Sentinel 인시던트에서 도메인 엔터티 > 플레이북 실행 실행을 위해.
    Export_IP_Entity Sentinel 인시던트에서 IP 엔터티 > 플레이북 실행 실행을 위해.
    Export_URL_Entity Sentinel 인시던트에서 URL 엔터티 > 플레이북 실행 실행을 위해.
    Incident_Enrichment Sentinel 인시던트에서 인시던트 작업 > 플레이북 실행 실행을 위해.