Integration von Security Operations-Systembefehlen: Flow „laufende Prozesse abrufen“
Der Flow „Integration von Security Operations-Systembefehlen – laufende Prozesse abrufen“ ruft die laufenden Prozesse eines Konfigurationselements ab, wenn er einem Windows- oder Unix-basierten Security Incident in hinzugefügt oder aktualisiert wird Analyse status.
Vorbereitungen
Erforderliche Rolle: sn_si.Analyst
Warum und wann dieser Vorgang ausgeführt wird
Bei neuen Security Incidents wird der Flow automatisch ausgeführt, wenn Sie den Incident mit einem ausgewählten Konfigurationselement übermitteln, wenn sich der Status automatisch in ändert Analyse . Wenn es in verbleibt Entwurf status, dann wird er nicht ausgeführt.
Vorhandene Security Incidents werden automatisch aktualisiert, wenn Sie sich in befinden Analyse status, und Sie fügen ein neues Konfigurationselement hinzu.
Die Flow-Prozessaktionen umfassen:
- FQDN-Flow-Aktion für Konfigurationselement abrufen
- Bestimmen Sie das Shell-Skript nach BS-Aktivität
- Ausführungsnachverfolgung: Flow-Aktion Starten
- Laufende Prozesse über PowerShell abrufen
- Shell-Skriptaktivität ausführen
- Nachverfolgung Der Fähigkeitsausführung: Fehler-Flow-Aktion
- Shell-Skript aus MID-Skriptaktivität extrahieren
- Ergebnisse Kombinieren Und geben Werte in einem Array zurück
- Flow-Aktion „Ergänzungsdatensätze erstellen“
- Nachverfolgung Der Fähigkeitsausführung: Flow-Aktion Abschließen