Enrichir le workflow WhoIs des observables

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Le workflow Enrichir l’observable WhoIs effectue un enrichissement sur les observables sélectionnés. Si les observables sont d’un type reconnu par , WhoisXML API Integration les observables sont enrichis.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Ce workflow est déclenché lorsque Security Operations Integration : enrichir l’aptitude des observables vous effectuez un enrichissement sur un ou plusieurs observables, et que l’implémentation WhoIs est sélectionnée.

    Figure 1. Enrichir le workflow WhoIs des observables
    Enrichir le workflow WhoIs des observables

    Les activités spécifiques à cette intégration sont décrites ici. Pour en savoir plus sur les autres activités, reportez-vous à la section Flux d’intégration et activités d’orchestration courants de Security Operations.

    Activité de recherche d’enrichissement d’observable

    L’activité de workflow de recherche d’enrichissement d’observables lance le processus d’enrichissement des observables.

    L’activité Recherche d’enrichissement d’observables peut être utilisée avec n’importe quel workflow d’observables pour commencer l’enrichissement.

    Résultats

    Les résultats possibles de cette activité sont les suivants :

    Tableau 1. Résultats
    Résultat Description
    Réussite La recherche a réussi.
    Échec Une erreur s’est produite lors de la tentative de recherche. Plus d’informations sur l’erreur sont disponibles dans l’erreur de sortie de l’activité.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.

    Variable Description
    implementation_id Identificateur système de l’implémentation utilisée pour effectuer la recherche.
    domain_id L’identificateur du domaine dans lequel la recherche est effectuée.
    observable_ids Un ou plusieurs observables sur lesquels effectuer l’action souhaitée. Les ID sont utilisés comme entrée de workflow.
    capabilityExcutionId Identificateur système de l’option qui a lancé le workflow d’implémentation. Uniquement requis pour les workflows d’implémentation de l’option d’intégration tels que Splunk, Elasticsearch.
    task_sys_id Identificateur système pour toute tâche associée au workflow.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures.

    Tableau 2. Variables de sortie
    Variable Description
    response_data Données brutes retournées par le point de terminaison d’API de l’implémentation pour le domaine donné.
    mapping_id Identificateur du mappage d’enrichissement. Par exemple, l’intégration WhoIs renvoie les données dans deux formats différents, IP et URL, avec un identifiant de mappage pour chacun.