Threat Intelligence 오케스트레이션 워크플로우 및 활동

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 기본 시스템에는 인스턴스의 작업을 자동화하는 데 사용할 수 있는 워크플로우 및 워크플로우 활동이 포함되어 있습니다.

    위협 인텔리전스 - IoC 조회 워크플로우 실행

    위협 인텔리전스 - IoC 조회 실행 워크플로우는 만료되지 않은 옵저버블이 있는지 확인하고, 있는 경우 조회가 완료로 설정되고 옵저버블의 데이터로 업데이트됩니다.

    시작하기 전에

    필요한 역할: sn_si.basic

    주:
    이 워크플로우는 비즈니스 규칙(기존 IoC 테이블로 채우기, 조회 큐에 대기, 옵저버블 업데이트)을 활동으로 대체합니다위협 인텔리전스 오케스트레이션.

    조회가 삽입되거나 업데이트되고 조건을 충족하면 조회 비즈니스 규칙이 이 워크플로우를 트리거합니다.

    이 태스크 정보

    위협 인텔리전스 - IoC 조회 실행 워크플로우는 만료되지 않은 옵저버블이 있는지 확인하고, 있는 경우 조회가 완료로 설정되고 옵저버블의 데이터로 업데이트됩니다. 옵저버블과 연결된 모든 표시기가 다시 활성화됩니다.

    옵저버블이 만료되면 워크플로우는 조회를 실행하고 만료된 기존 옵저버블의 사이팅 개수 를 증가시킵니다.

    상관 관계가 있는 옵저버블이 없으면 표시기가 있는 새 옵저버블이 생성됩니다.

    워크플로우 프로세스 활동에는 다음이 포함됩니다.
    그림 1. Threat Intelligence - IoC 조회 워크플로우 실행
    위협 인텔리전스 - IoC 조회 워크플로우 다이어그램 실행

    옵저버블 활동으로 조회 채우기

    만료되지 않은 옵저버블이 발견되면 Threat Intelligence 오케스트레이션 - 옵저버블로 조회 채우기 워크플로우 활동은 기존 옵저버블의 데이터를 조회에 제공합니다. 이 활동은 조사 및 정정 프로세스를 가속화할 수 있습니다.

    워크플로우에 의해 트리거될 때 조회 및 옵저버블로 채우기 는 활동에 입력으로 제공된 조회의 유형과 일치하는 조회에 대한 기존 옵저버블을 찾으려고 시도합니다.

    옵저버블이 존재하고 만료되지 않은 경우 이 활동은 다음을 수행합니다.

    • 옵저버블에 있는 정보로 조회를 업데이트합니다.
    • 표시기가 비활성 상태인 경우 다시 활성화하고, 발생 횟수를 증가시키고, 마지막으로 표시된 날짜를 업데이트합니다.
    • 상태를 완료로 설정합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    입력 변수 설명
    scanID[문자열] 조회 식별자

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함됩니다.

    출력 변수 설명
    유효한 옵저버블 및 업데이트된 조회를 찾았습니다.
    아니오 유효한 옵저버블을 찾지 못했습니다. 옵저버블이 누락되었거나 만료되었습니다.

    IoC 조회 활동 수행

    Threat Intelligence 오케스트레이션 - IoC 조회 수행 워크플로우 활동은 지정된 조회를 수행합니다. 이 활동은 조사 및 정정 프로세스를 가속화할 수 있습니다.

    워크플로에 의해 트리거되면 IoC 조회 수행 은 scanID를 사용하고, 조회 기록을 조회하고, 조회 큐 항목을 만들어 큐에 조회를 추가합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 1. 입력 변수
    변수 설명
    scanID[문자열] 조회 식별자

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함됩니다.

    표 2. 출력 변수
    변수 설명
    조회를 트리거했습니다.
    아니오 조회를 트리거하지 않았습니다.

    조회 결과 활동으로 옵저버블 업데이트

    위협 인텔리전스 오케스트레이션 - 조회 결과로 옵저버블 업데이트 워크플로우 활동은 옵저버블 기록을 업데이트합니다. 옵저버블이 없는 경우 새 옵저버블을 생성합니다. 이 활동은 정보를 로깅하는 데 유용합니다.

    워크플로우에 의해 트리거되면 조회 결과로 옵저버블을 업데이트 하면 새 관찰 수가 포함되도록 기존 옵저버블을 업데이트하고, 메모를 추가하고, 비활성 상태인 경우 표시기를 다시 활성화합니다. 표시기의 발생한 횟수마지막으로 본 날짜도 업데이트됩니다.

    상관 관계가 있는 옵저버블이 없는 경우 워크플로우는 다음과 같이 표시기가 있는 새 옵저버블을 생성합니다.

    • IoC 조회를 실행합니다.
    • 새 옵저버블 생성
    • 옵저버블에 대한 표시기 생성
    • 옵저버블에 관찰 카운트 를 추가합니다.
    • 표시기에 발생한 횟수마지막으로 본 날짜를 추가합니다.
    • 작성된 조회를 나타내는 메시지를 추가합니다.
    .

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 3. 입력 변수
    변수 설명
    scanID[문자열] 조회 식별자입니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함됩니다.

    표 4. 출력 변수
    변수 설명
    옵저버블 업데이트 또는 작성에 성공했습니다.
    아니오 옵저버블 업데이트 또는 작성에 실패했습니다.

    기본 IoC 조회 소스 활동 실행

    워크플로우 위협 인텔리전스 에 의해 트리거되면 - 기본 IoC 조회 소스 실행 조회 요청 ID를 받고 입력한 데이터 값에 따라 여러 조회를 작성합니다.

    각 데이터 유형에 대해 각 조회 소스의 지원되는 조회 유형 테이블의 include_in_bulk 스캔 열이 평가됩니다. 예일 경우 조회가 조회 요청에 추가됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 5. 입력 변수
    변수 설명
    scan_request_id 조회 요청 시스템 식별자

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함됩니다.

    표 6. 출력 변수
    변수 설명
    생성된 스캔 수 정수