Déclencheurs de webhook

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 7 minutes de lecture

    • Les déclencheurs de webhook sont utilisés pour filtrer les entités Threat Intelligence qui doivent être suivies pour tout changement d’événement tel que Créer, Mettre à jour et Supprimer.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Tous > Centre de sécurité des renseignements sur les menaces > Administration.
    2. Sélectionner Webhooks Configurations > Déclencheurs.
      La page Déclencheurs de webhooks s’affiche.
    3. Cliquez sur Nouveau.
      ChampDescription
      Nom Saisissez un nom de déclencheur de webhook.
      Description Ajoutez la description du déclencheur de webhook.
      Table Sélectionnez la table pour le déclencheur de webhook.
      Type de déclencheur Définit si le déclencheur de webhook configuré est un événement créer/mettre à jour/supprimer sur la table spécifiée.

      Champs de déclencheur : Cela s’affiche lorsque vous sélectionnez le type de déclencheur : Mettre à jour.

      Il s’agit de la liste des champs de l’enregistrement pour lesquels l’événement de mise à jour doit faire l’objet d’un suivi. Si ce champ est vide, l’événement est pris en compte pour tout changement de champ dans l’enregistrement. Par exemple, si les champs de déclencheur sont Confiance et Réputation pour la table Observables , ce déclencheur n’est pris en compte que lorsque les champs Confiance ou Réputation sont mis à jour.
      Remarque :
      Les champs sélectionnés dans les champs d’exclusion ne seront pas disponibles dans la sélection des champs de déclenchement.

      Supprimer : si le type de déclencheur « Supprimer », les champs d’exclusion ne sont pas visibles.
      Champs d'exclusion Il s’agit de l’ensemble des champs qui sont exclus de la charge utile du déclencheur de webhook.
      Conditions de filtre Conditions facultatives qui peuvent être appliquées pour filtrer les enregistrements de correspondance pour n’importe quel déclencheur d’événement. Par exemple, si la gravité de la menace est élevée et que le type de déclencheur est défini sur Mettre à jour dans la table Observable, seuls les observables qui sont modifiés et où la gravité de la menace est élevée sont envoyés à l’URL Webhook.
    4. Cliquez sur Enregistrer.
      Par défaut, le déclencheur est créé à l’état désactivé.
    5. Cliquez sur Activer pour activer le déclencheur et ce déclencheur sera disponible pour que les webhooks s’abonnent.
      Remarque :
      Cliquez sur Désactiver pour désactiver le déclencheur activé et la désactivation désabonnera tous les webhooks associés de ce déclencheur.
    6. Cliquez sur Afficher l’exemple de charge utile pour sélectionner l’enregistrement.
      Affichez l’exemple de charge utile de ce déclencheur de webhook particulier. En fonction de la table sélectionnée, les enregistrements de cette table spécifiée seront renseignés dans la liste déroulante Sélectionner un enregistrement . Sélectionnez l’enregistrement pour afficher l’exemple de charge utile. L’exemple de charge utile est affiché au format JSON. Les champs de la charge utile sont répertoriés ci-dessous.
    7. Sélectionnez le type d’enregistrement dans la liste déroulante.
      La charge utile sera automatiquement modifiée en fonction de l’enregistrement sélectionné.
      {
    "record": "Observable",
    "record_fields": {
        "additional_context": "This could be a potential malicious IP. ",
        "attack_phases": "Lockheed Martin: Command and Control",
        "author": "Anomali",
        "confidence": "50",
        "description": "This could be a potential malicious IP. ",
        "expiration_time": "2024-12-01T00:00:00.000Z",
        "first_observed": "2024-01-01T00:00:00.000Z",
        "first_seen": "2024-01-01T00:00:00.000Z",
        "id": "ipv4-addr--70526b0a436a02102164e0ea78b8f210",
        "is_defanged": "false",
        "is_false_positive": "false",
        "last_observed": "2024-01-01T00:00:00.000Z",
        "last_seen": "2024-01-01T00:00:00.000Z",
        "reputation": "suspicious",
        "source_count": "1",
        "status": "active",
        "sys_created_by": "SecCommon.System",
        "sys_created_on": "2024-06-04T00:00:00.000Z",
        "sys_id": "30526b0a436a02102164e0ea78b8f210",
        "sys_updated_by": "system",
        "sys_updated_on": "2024-06-15T00:00:00.000Z",
        "tags": "critical",
        "taxonomies": "MITRE: T121",
        "threat_level": "medium",
        "threat_score": "24",
        "threat_severity": "medium",
        "tlp": "CLEAR",
        "type": "ip_v4_address",
        "usage_categories": "APT",
        "value": "116.98.170.70"
    },
    "trigger": {
        "name": "Observable Update",
        "type": "UPDATE",
        "trigger_time": "2024-07-26T07:27:29.000Z",
        "trigger_fields": [
            {
                "field_name": "confidence",
                "previous_value": "30",
                "current_value": "50"
            }
        ]
    }
}
      Tableau 1. Liste des paramètres de la charge utile du déclencheur
      Paramètre dans la charge utile du déclencheur Type Description
      record Chaîne Spécifie le type d’enregistrement tel qu’Observable ou Indicateur.
      record_fields Objet Spécifie l’instantané des champs d’enregistrement lorsque l’événement est généré. Pour obtenir la liste des champs pris en charge, consultez la table dans la section ci-dessous.
      déclencher Objet Spécifie les informations sur le déclencheur correspondant.
      trigger.name Chaîne Spécifie le nom du déclencheur
      trigger.type Chaîne Spécifie le type de déclencheur. Les valeurs valides sont CRÉER, METTRE À JOUR, SUPPRIMER.
      trigger.trigger_time Date (au format ISO avec le fuseau horaire UTC) Spécifie l’heure à laquelle l’événement s’est produit dans l’enregistrement.
      trigger_fields Tableau d'objets Ceci n’est disponible que pour le type de déclencheur METTRE À JOUR. Elle spécifie la liste des champs de déclencheur qui ont été modifiés lors de l’événement qui s’est produit. Les paramètres à l’intérieur trigger_fields sont les suivants :
      • field_name : fournit le nom du champ qui a été modifié
      • previous_value : fournit la valeur précédente du champ.
      • current_value : fournit la valeur actuelle du champ.
      Tableau 2. Liste des champs pris en charge pour les déclencheurs de création et de mise à jour
      Table Nom de colonne Étiquette de colonne
      Campagne Alias Alias
      Campagne description Description
      Campagne first_seen Premier observé
      Campagne last_seen Dernier observé
      Campagne nom Nom
      Campagne objectif Objectif
      Indicateur additional_context Contexte supplémentaire
      Indicateur attack_phases Phases d'attaque
      Indicateur auteur Auteur
      Indicateur fiabilité Fiabilité
      Indicateur description Description
      Indicateur expiration_time Délai d'expiration
      Indicateur first_detected Premier détecté
      Indicateur first_observed Premier observé
      Indicateur first_seen Premier observé
      Indicateur id ID
      Indicateur indicator_types Types des indicateurs
      Indicateur ioc_classification Classification IOC
      Indicateur last_observed Derniers observés
      Indicateur last_seen Dernier observé
      Indicateur nom Nom
      Indicateur modèle Schéma
      Indicateur pattern_type Type de schéma
      Indicateur pattern_version Version du modèle
      Indicateur Plates-formes Plateformes
      Indicateur Révoqué Révoqué
      Indicateur source_count Nombre de sources
      Indicateur spec_version Version de spéc.
      Indicateur état Statut
      Indicateur balises Balises TISC
      Indicateur Taxonomies Taxonomies
      Indicateur threat_level Niveau de menace
      Indicateur threat_severity Gravité de la menace
      Indicateur Tlp TLP
      Indicateur usage_categories Catégories d'utilisation
      Indicateur valid_from Date de début de validité
      Indicateur valid_until Fin de validité
      Programme malveillant Alias Alias
      Programme malveillant attack_phases Phases d'attaque
      Programme malveillant description Description
      Programme malveillant executable_process_architectures Architectures de processus
      Programme malveillant first_seen Premier observé
      Programme malveillant implementation_languages Langues d'implémentation
      Programme malveillant is_family Est la famille
      Programme malveillant last_seen Dernier observé
      Programme malveillant malware_capabilities Options de logiciel malveillant
      Programme malveillant malware_types Types de programmes malveillants
      Programme malveillant nom Nom
      Objet (champs d’objet commun) additional_context Contexte supplémentaire
      Objet (champs d’objet commun) fiabilité Fiabilité
      Objet (champs d’objet commun) expiration_time Délai d'expiration
      Objet (champs d’objet commun) id ID
      Objet (champs d’objet commun) Révoqué Révoqué
      Objet (champs d’objet commun) source_count Nombre de sources
      Objet (champs d’objet commun) spec_version Version de spéc.
      Objet (champs d’objet commun) état Statut
      Objet (champs d’objet commun) balises Balises TISC
      Objet (champs d’objet commun) Taxonomies Taxonomies
      Objet (champs d’objet commun) threat_level Niveau de menace
      Objet (champs d’objet commun) threat_severity Gravité de la menace
      Objet (champs d’objet commun) Tlp TLP
      Observable additional_context Contexte supplémentaire
      Observable attack_phases Phases d'attaque
      Observable auteur Auteur
      Observable fiabilité Fiabilité
      Observable description Description
      Observable expiration_time Délai d'expiration
      Observable first_observed Premier observé
      Observable first_seen Premier observé
      Observable id ID
      Observable is_defanged Est neutralisé
      Observable is_false_positive Est un faux positif
      Observable last_observed Derniers observés
      Observable last_seen Dernier observé
      Observable réputation Réputation
      Observable source_count Nombre de sources
      Observable état Statut
      Observable balises Balises TISC
      Observable Taxonomies Taxonomies
      Observable threat_level Niveau de menace
      Observable threat_score Score de menace
      Observable threat_severity Gravité de la menace
      Observable Tlp TLP
      Observable type Type
      Observable usage_categories Catégories d'utilisation
      Observable valide Valeur
      Acteur de menace Alias Alias
      Acteur de menace description Description
      Acteur de menace first_seen Premier observé
      Acteur de menace objectifs Objectifs
      Acteur de menace last_seen Dernier observé
      Acteur de menace nom Nom
      Acteur de menace personal_motivations Motivations personnelles
      Acteur de menace primary_motivation Motivation principale
      Acteur de menace resource_level Niveau de ressource
      Acteur de menace secondary_motivations Motivations secondaires
      Acteur de menace sophistication Sophistication
      Acteur de menace threat_actor_roles Rôles d'acteur de menace
      Acteur de menace threat_actor_types Types d'acteurs de menace
      Rapport de menace description Description
      Rapport de menace nom Nom
      Rapport de menace publié Publié
      Rapport de menace report_types Types de rapports
      Vulnérabilité affected_software Logiciel affecté
      Vulnérabilité description Description
      Vulnérabilité exploitation_status État d'exploitation
      Vulnérabilité exploit_exists Un exploit existe
      Vulnérabilité nom Nom
      Vulnérabilité publié Publié
      Vulnérabilité record_last_modified Dernière modification de l'enregistrement
      Vulnérabilité severity Gravité
      Vous trouverez ci-dessous la liste des champs système applicables qui sont communs à toutes les entités, et ceux-ci sont pris en charge dans la charge utile du déclencheur de webhook pour les déclencheurs de création et de mise à jour.
      • sys_id (ID système)
      • sys_created_on (créé)
      • sys_created_by (créé par)
      • sys_updated_on (mis à jour)
      • sys_updated_by (Mis à jour par)
      Remarque :
      Pour la suppression, seul sys_id (ID système) est envoyé à l’URL du point de terminaison Webhook dans le cadre de la charge utile et les autres champs système ne sont pas pris en charge.
      Tableau 3. Liste des champs pris en charge pour supprimer le déclencheur
      Table Nom de colonne Étiquette de colonne
      Observable type Type
      Observable valide Valeur
      Indicateur nom Nom
      Indicateur modèle Schéma
      Indicateur pattern_type Type de schéma
      Indicateur valid_from Début de validité
      Campagne nom Nom
      Programme malveillant is_family Est la famille
      Programme malveillant nom Nom
      Acteur de menace nom Nom
      Rapport de menace nom Nom
      Rapport de menace publié Publié
      Vulnérabilité nom Nom
      Vulnérabilité severity Gravité