Le workflow Security Operations Integration - Recherche de perceptions est un workflow de haut niveau indépendant des intégrations. Elle utilise les requêtes configurées pour rechercher un ensemble d’observables en fonction des intégrations configurées qui prennent en charge l’aptitude. Utilisez-le pour réaliser une intégration telle que Splunk ou Elasticsearch.

Pourquoi et quand exécuter cette tâche

Si un incident de sécurité est associé à un observable, ce workflow est déclenché lorsque vous cliquez sur Exécuter la recherche de perception dans le menu déroulant Actions sur les lignes sélectionnées... dans l’onglet Observables d’incident de sécurité .

Les activités de processus du workflow comprennent :

• Déterminer l’activité des observables
• Suivi des exécutions : démarrer l’activité
• Activité du workflow du minuteur : attend une seconde pour obtenir un verrou.
• Verrouiller l’activité du workflow
• Filtrer les éléments observables sur la liste d’autorisation
• Activité Obtenir les options de sécurité prises en charge
• Suivi de l’exécution de l’aptitude : aucune implémentation de l’activité
• Déverrouiller workflow activité
• Obtenir des observations d’observables Activité de requête
• Suivi d’exécution de l’aptitude : activité d’échec
• Exécuter le script workflow activité
• Lanceur de flux parallèle
• Si activité de workflow Si activité de workflow : itérez jusqu’à ce que tous les workflows appropriés se soient exécutés et stockez les résultats dans un tableau.
• Suivi d’exécution de l’aptitude : terminer l’activité

Les activités spécifiques à ce workflow sont décrites ici. Pour plus d’informations sur d’autres activités, voir Workflows d’intégration et activités d’orchestration courants pour Opérations de sécurité.