Workflows und Aktivitäten für Threat Intelligence-Orchestration
Das Basissystem enthält Workflows und Workflow-Aktivitäten, mit denen Sie Aktionen in Ihrer Instanz automatisieren können.
Threat Intelligence – IOC-Such-Workflow ausführen
Die Threat Intelligence – IOC-Suche ausführen Der Workflow überprüft, ob ein nicht abgelaufenes erkennbares Element vorhanden ist. Wenn dies der Fall ist, wird die Suche auf festgelegt Abgeschlossen Und mit den Daten aus dem erkennbaren Element aktualisiert.
Vorbereitungen
Erforderliche Rolle: sn_si.Basic
Wenn eine Suche eingefügt oder aktualisiert wird und die Bedingungen erfüllt, löst die Business-Regel „Suchen“ diesen Workflow aus.
Warum und wann dieser Vorgang ausgeführt wird
Die Threat Intelligence – IOC-Suche ausführen Der Workflow überprüft, ob ein nicht abgelaufenes erkennbares Element vorhanden ist. Wenn dies der Fall ist, wird die Suche auf festgelegt Abgeschlossen Und mit den Daten aus dem erkennbaren Element aktualisiert. Alle Indikatoren, die dem erkennbaren Element zugeordnet sind, werden erneut aktiviert.
Wenn das erkennbare Element abgelaufen ist, führt der Workflow die Suchen aus und erhöht den Sichtungsanzahl Im vorhandenen abgelaufenen erkennbaren Element.
Wenn kein korrelierendes erkennbares Element vorhanden ist, wird ein neues erkennbares Element mit Indikator erstellt.
Füllen Sie die Suche mit Aktivität des erkennbaren Elements aus
Wenn ein nicht abgelaufenes erkennbares Element gefunden wird, wird Threat Intelligence-Orchestration: Füllen Sie die Suche mit erkennbarem Element aus Die Workflow-Aktivität stellt Daten aus einem vorhandenen erkennbaren Element für eine Suche bereit. Diese Aktivität kann den Untersuchungs- und Korrekturprozess beschleunigen.
Wenn durch einen Workflow ausgelöst Füllen Sie die Suche mit erkennbarem Element aus Versucht, ein vorhandenes erkennbares Element für eine Suche zu finden, die mit übereinstimmt Wert Und Typ Der Suche, die für die Aktivität als Eingabe bereitgestellt wurde.
Wenn das erkennbare Element vorhanden und nicht abgelaufen ist, wird diese Aktivität:
- Aktualisiert die Suche mit den im erkennbaren Element gefundenen Informationen
- Aktiviert einen Indikator erneut, wenn er inaktiv ist, erhöht den Aufgetretene Anzahl , Und aktualisiert Zuletzt gesehen Datum
- Legt Fest Status Zum Abschließen.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Eingabevariable | Beschreibung |
|---|---|
| ScanID[Zeichenfolge] | Suchbezeichner |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Ausgabevariablen | Beschreibung |
|---|---|
| wahr | Gültiges erkennbares Element gefunden und Suche aktualisiert. |
| Falsch | Es wurde kein gültiges erkennbares Element gefunden. Erkennbares Element fehlt oder ist abgelaufen. |
Führen Sie eine IOC-Suchaktivität aus
Die Threat Intelligence-Orchestration: Führen Sie die IOC-Suche durch Die Workflow-Aktivität führt eine bestimmte Suche durch. Diese Aktivität kann den Untersuchungs- und Korrekturprozess beschleunigen.
Wenn durch einen Workflow ausgelöst, Führen Sie die IOC-Suche durch Verwendet eine Scan-ID, sucht nach dem Suchdatensatz und fügt die Suche der Warteschlange hinzu, indem ein Suchwarteschlangeneintrag erstellt wird.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| ScanID[Zeichenfolge] | Suchbezeichner |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| wahr | Hat die Suche ausgelöst. |
| Falsch | Die Suche wurde nicht ausgelöst. |
Aktualisieren Sie das erkennbare Element mit der Aktivität „Suchergebnis“
Die Threat Intelligence-Orchestration: Aktualisieren Sie das erkennbare Element mit dem Suchergebnis Workflow-Aktivität aktualisiert den Datensatz des erkennbaren Elements. Wenn kein vorhanden ist, wird ein neues erkennbares Element erstellt. Diese Aktivität ist nützlich für die Protokollierung von Informationen.
Wenn durch einen Workflow ausgelöst Aktualisieren Sie das erkennbare Element mit dem Suchergebnis Aktualisiert ein vorhandenes erkennbares Element, um das neue einzubeziehen Sichtungsanzahl , Fügt eine Notiz hinzu und aktiviert, falls inaktiv, alle Indikatoren erneut. Die Aufgetretene Anzahl Und Zuletzt gesehen Das Datum im Indikator wird ebenfalls aktualisiert.
Wenn kein korrelierendes erkennbares Element vorhanden ist, erstellt der Workflow ein neues erkennbares Element mit Indikator wie folgt:
- Führt die IOC-Suchen aus
- Erstellt ein neues erkennbares Element
- Erstellt einen Indikator für das erkennbare Element
- Fügt ein hinzu Sichtungsanzahl Zum erkennbaren Element
- Fügt hinzu Aufgetretene Anzahl Und Zuletzt gesehen Datum für den Indikator
- Fügt eine Nachricht hinzu, die angibt, aus welcher Suche sie erstellt wurde
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| ScanID[Zeichenfolge] | Suchbezeichner. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| wahr | Das Aktualisieren oder Erstellen des erkennbaren Elements ist erfolgreich. |
| Falsch | Fehler beim Aktualisieren oder Erstellen des erkennbaren Elements. |
Führen Sie die Aktivität „Standard-IOC-Suchquellen“ aus
Wenn durch einen Workflow ausgelöst, Threat Intelligence– Führen Sie Standard-IOC-Suchquellen aus Nimmt eine Suchanforderungs-ID auf und erstellt je nach den eingegebenen Datenwerten mehrere Suchen.
Für jeden Datentyp die Include_in_Bulk-Scan Spalte der unterstützten Suchtyptabelle jeder Suchquelle wird ausgewertet. Bei „wahr“ wird der Suchanforderung eine Suche hinzugefügt.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Scan_Request_ID | Suchanforderungssystembezeichner |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Anzahl der erstellten Scans | Ganzzahl |