Webhook-Auslöser

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Webhook-Auslöser werden verwendet, um die Threat Intelligence-Entitäten zu filtern, die nach Ereignisänderungen wie Erstellen, Aktualisieren und Löschen nachverfolgt werden müssen.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administrationan.
    2. Auswahlvorgang Webhooks-Konfigurationen > Wiederholungenan.
      Die Seite Webhooks-Auslöser wird angezeigt.
    3. Klicken Sie auf Neu.
      FeldBeschreibung
      Name Geben Sie einen Webhook-Auslösernamen ein.
      Beschreibung Fügen Sie die Beschreibung des Webhook-Auslösers hinzu.
      Tabelle Wählen Sie die Tabelle für den Webhook-Auslöser aus.
      Auslösertyp Definiert, ob der konfigurierte Webhook-Auslöser entweder ein Ereignis zum Erstellen/Aktualisieren/Löschen in der angegebenen Tabelle ist.

      Auslöserfelder : Wird angezeigt, wenn Sie auswählen Auslösertyp: Aktualisieren .

      Dies ist die Liste der Felder im Datensatz, für die das Aktualisierungsereignis nachverfolgt werden muss. Wenn dieser Wert leer ist, wird das Ereignis für jede Feldänderung im Datensatz berücksichtigt. Beispiel: Wenn die Auslöserfelder lauten Vertrauen Und Reputation Für Erkennbare Elemente Tabelle, dann wird dieser Auslöser nur berücksichtigt, wenn Konfidenz- oder Reputationsfelder aktualisiert werden.
      Hinweis:
      Die in den Ausschlussfeldern ausgewählten Felder sind bei der Auswahl der Auslöserfelder nicht verfügbar.

      Löschen : Wenn Auslösertyp: Löschen Dann sind die Ausschlussfelder nicht sichtbar.
      Ausschlussfelder Dies sind die Felder, die von der Nutzlast des Webhook-Auslösers ausgeschlossen sind.
      Filterbedingungen Optionale Bedingungen, die angewendet werden können, um die Übereinstimmungsdatensätze nach einem beliebigen Ereignisauslöser zu filtern. Wenn beispielsweise der Bedrohungsschweregrad hoch ist und der Auslösertyp in der Tabelle erkennbarer Elemente als Aktualisieren definiert ist, werden nur die erkennbaren Elemente, die geändert wurden und deren Bedrohungsschweregrad hoch ist, an die Webhook-URL gesendet.
    4. Klicken Sie auf Speichern.
      Standardmäßig wird der Auslöser im deaktivierten Status erstellt.
    5. Klicken Sie Auf Aktivieren Um den Auslöser zu aktivieren, ist dieser Auslöser für die Webhooks zum Abonnieren verfügbar.
      Hinweis:
      Klicken Sie Auf Deaktivieren Zum Deaktivieren des aktivierten Auslösers und der Deaktivierung werden alle zugehörigen Webhooks von diesem Auslöser abbestellt.
    6. Klicken Sie Auf Zeigen Sie Die Beispielnutzlast An Zum Auswählen des Datensatzes.
      Zeigen Sie die Beispielnutzlast dieses bestimmten Webhook-Auslösers an. Basierend auf der ausgewählten Tabelle werden diese Datensätze aus der angegebenen Tabelle in ausgefüllt Wählen Sie Datensatz Aus Dropdown-Liste. Wählen Sie den Datensatz aus, um die Beispielnutzlast anzuzeigen. Die Beispielnutzlast wird im JSON-Format angezeigt. Die Felder in der Nutzlast sind unten aufgeführt.
    7. Wählen Sie den Typ des Datensatzes aus der Dropdown-Liste aus.
      Die Nutzlast wird automatisch basierend auf dem ausgewählten Datensatz geändert.
      {
    "record": "Observable",
    "record_fields": {
        "additional_context": "This could be a potential malicious IP. ",
        "attack_phases": "Lockheed Martin: Command and Control",
        "author": "Anomali",
        "confidence": "50",
        "description": "This could be a potential malicious IP. ",
        "expiration_time": "2024-12-01T00:00:00.000Z",
        "first_observed": "2024-01-01T00:00:00.000Z",
        "first_seen": "2024-01-01T00:00:00.000Z",
        "id": "ipv4-addr--70526b0a436a02102164e0ea78b8f210",
        "is_defanged": "false",
        "is_false_positive": "false",
        "last_observed": "2024-01-01T00:00:00.000Z",
        "last_seen": "2024-01-01T00:00:00.000Z",
        "reputation": "suspicious",
        "source_count": "1",
        "status": "active",
        "sys_created_by": "SecCommon.System",
        "sys_created_on": "2024-06-04T00:00:00.000Z",
        "sys_id": "30526b0a436a02102164e0ea78b8f210",
        "sys_updated_by": "system",
        "sys_updated_on": "2024-06-15T00:00:00.000Z",
        "tags": "critical",
        "taxonomies": "MITRE: T121",
        "threat_level": "medium",
        "threat_score": "24",
        "threat_severity": "medium",
        "tlp": "CLEAR",
        "type": "ip_v4_address",
        "usage_categories": "APT",
        "value": "116.98.170.70"
    },
    "trigger": {
        "name": "Observable Update",
        "type": "UPDATE",
        "trigger_time": "2024-07-26T07:27:29.000Z",
        "trigger_fields": [
            {
                "field_name": "confidence",
                "previous_value": "30",
                "current_value": "50"
            }
        ]
    }
}
      Tabelle : 1. Liste der Parameter in der Auslösernutzlast
      Parameter in Auslösernutzlast Typ Beschreibung
      record Zeichenfolge Gibt den Datensatztyp an, z. B. erkennbares Element oder Indikator.
      Record_fields Objekt Gibt den Snapshot der Datensatzfelder an, wenn das Ereignis generiert wird. Eine Liste der unterstützten Felder finden Sie in der Tabelle im folgenden Abschnitt.
      Auslöser Objekt Gibt die übereinstimmenden Auslöserinformationen an.
      trigger.name Zeichenfolge Gibt den Namen des Auslösers an
      Auslöser.Typ Zeichenfolge Gibt den Typ des Auslösers an. Gültige Werte sind „CREATE“, „UPDATE“, „DELETE“.
      Auslöser.Auslöser_Zeit Datum (im ISO-Format mit UTC-Zeitzone) Gibt die Zeit an, zu der das Ereignis im Datensatz aufgetreten ist.
      Trigger_fields Array von Objekten Dies ist nur für den AKTUALISIERUNGSAUSLÖSERTYP verfügbar. Gibt die Liste der Auslöserfelder an, die im Zuge des Ereignisses geändert wurden. Die Parameter in Trigger_fields Sind:
      • Feldname : Gibt den Feldnamen an, der geändert wurde
      • Vorheriger_Wert : Gibt den vorherigen Wert des Felds an.
      • Current_value : Gibt den aktuellen Wert des Felds an.
      Tabelle : 2. Liste der unterstützten Felder für „Auslöser erstellen und aktualisieren“
      Tabelle Spaltenname Spaltenbezeichnung
      Kampagne Aliasse Aliasse
      Kampagne Beschreibung Beschreibung
      Kampagne first_seen Erstmals aufgetreten
      Kampagne last_seen Zuletzt aufgetreten
      Kampagne name Name
      Kampagne Ziel Ziel
      Indikator additional_context Zusätzlicher Kontext
      Indikator Attack_Phases Angriffsphasen
      Indikator Autor Autor
      Indikator confidence Vertrauen
      Indikator Beschreibung Beschreibung
      Indikator Ablaufzeit Ablaufzeit
      Indikator First_detected Zuerst erkannt
      Indikator First_Observed Zuerst beobachtet
      Indikator first_seen Erstmals aufgetreten
      Indikator id ID
      Indikator Indikatortypen Indikatortypen
      Indikator ioc_classification IoC-Klassifizierung
      Indikator Last_Observed Zuletzt beobachtet
      Indikator last_seen Zuletzt aufgetreten
      Indikator name Name
      Indikator pattern Muster
      Indikator Muster_Typ Mustertyp
      Indikator Pattern_Version Musterversion
      Indikator Plattformen Plattformen
      Indikator widerrufen Widerrufen
      Indikator Source_count Anzahl der Quellen
      Indikator SPEC_Version Spezifikationsversion
      Indikator status Status
      Indikator tags TISC-Tags
      Indikator Taxonomien Taxonomien
      Indikator Threat_level Bedrohungsstufe
      Indikator Threat_severity Bedrohungsschweregrad
      Indikator tlp TLP
      Indikator Usage_Categories Nutzungskategorien
      Indikator Valid_from Gültig ab
      Indikator Valid_until Gültig bis
      Malware Aliasse Aliasse
      Malware Attack_Phases Angriffsphasen
      Malware Beschreibung Beschreibung
      Malware Executable_Process_Architectures Prozessarchitekturen
      Malware first_seen Erstmals aufgetreten
      Malware Implementation_Languages Implementierungssprachen
      Malware Is_family Ist Familie
      Malware last_seen Zuletzt aufgetreten
      Malware Malware_Capabilities Malware-Fähigkeiten
      Malware Malware_types Schadsoftwaretypen
      Malware name Name
      Objekt (Allgemeine Objektfelder) additional_context Zusätzlicher Kontext
      Objekt (Allgemeine Objektfelder) confidence Vertrauen
      Objekt (Allgemeine Objektfelder) Ablaufzeit Ablaufzeit
      Objekt (Allgemeine Objektfelder) id ID
      Objekt (Allgemeine Objektfelder) widerrufen Widerrufen
      Objekt (Allgemeine Objektfelder) Source_count Anzahl der Quellen
      Objekt (Allgemeine Objektfelder) SPEC_Version Spezifikationsversion
      Objekt (Allgemeine Objektfelder) status Status
      Objekt (Allgemeine Objektfelder) tags TISC-Tags
      Objekt (Allgemeine Objektfelder) Taxonomien Taxonomien
      Objekt (Allgemeine Objektfelder) Threat_level Bedrohungsstufe
      Objekt (Allgemeine Objektfelder) Threat_severity Bedrohungsschweregrad
      Objekt (Allgemeine Objektfelder) tlp TLP
      Erkennbares Element additional_context Zusätzlicher Kontext
      Erkennbares Element Attack_Phases Angriffsphasen
      Erkennbares Element Autor Autor
      Erkennbares Element confidence Vertrauen
      Erkennbares Element Beschreibung Beschreibung
      Erkennbares Element Ablaufzeit Ablaufzeit
      Erkennbares Element First_Observed Zuerst beobachtet
      Erkennbares Element first_seen Erstmals aufgetreten
      Erkennbares Element id ID
      Erkennbares Element Is_defanged Ist entsperrt
      Erkennbares Element Ist_falsch_positiv Ist falsch positiv
      Erkennbares Element Last_Observed Zuletzt beobachtet
      Erkennbares Element last_seen Zuletzt aufgetreten
      Erkennbares Element Reputation Reputation
      Erkennbares Element Source_count Anzahl der Quellen
      Erkennbares Element status Status
      Erkennbares Element tags TISC-Tags
      Erkennbares Element Taxonomien Taxonomien
      Erkennbares Element Threat_level Bedrohungsstufe
      Erkennbares Element Threat_Score Bedrohungsbewertung
      Erkennbares Element Threat_severity Bedrohungsschweregrad
      Erkennbares Element tlp TLP
      Erkennbares Element type Typ
      Erkennbares Element Usage_Categories Nutzungskategorien
      Erkennbares Element Wert Wert
      Bedrohungsakteur Aliasse Aliasse
      Bedrohungsakteur Beschreibung Beschreibung
      Bedrohungsakteur first_seen Erstmals aufgetreten
      Bedrohungsakteur goals Ziele
      Bedrohungsakteur last_seen Zuletzt aufgetreten
      Bedrohungsakteur name Name
      Bedrohungsakteur Personal_Motivations Persönliche Motivationen
      Bedrohungsakteur Primary_Motivation Primäre Motivation
      Bedrohungsakteur Resource_level Ressourcenebene
      Bedrohungsakteur Secondary_Motivations Sekundäre Motivationen
      Bedrohungsakteur Raffinesse Ausgereiftheit
      Bedrohungsakteur Threat_actor_roles Bedrohungsakteurrollen
      Bedrohungsakteur Threat_actor_types Bedrohungsakteurtypen
      Bedrohungsbericht Beschreibung Beschreibung
      Bedrohungsbericht name Name
      Bedrohungsbericht Veröffentlicht Veröffentlicht
      Bedrohungsbericht Report_types Berichtstypen
      Schwachstelle Betroffene_Software Betroffene Software
      Schwachstelle Beschreibung Beschreibung
      Schwachstelle Exploitation_Status Nutzungsstatus
      Schwachstelle Exploit_exists Exploit vorhanden
      Schwachstelle name Name
      Schwachstelle Veröffentlicht Veröffentlicht
      Schwachstelle Record_Last_modified Datensatz zuletzt geändert
      Schwachstelle severity Schweregrad
      Unten finden Sie die Liste der anwendbaren Systemfelder, die für jede Entität gemeinsam sind. Diese werden in der Webhook-Auslöser-Nutzlast für Erstellungs- und Update-Auslöser unterstützt.
      • sys_ID (SYS-ID)
      • sys_created_on (erstellt)
      • sys_created_by (erstellt von)
      • sys_updated_on (aktualisiert)
      • sys_updated_by (aktualisiert von)
      Hinweis:
      Beim Löschen wird nur sys_ID (SYS-ID) als Teil der Nutzlast an die Webhook-Endpunkt-URL gesendet, und andere Systemfelder werden nicht unterstützt.
      Tabelle : 3. Liste der unterstützten Felder für Löschauslöser
      Tabelle Spaltenname Spaltenbezeichnung
      Erkennbares Element type Typ
      Erkennbares Element Wert Wert
      Indikator name Name
      Indikator pattern Muster
      Indikator Muster_Typ Mustertyp
      Indikator Valid_from Gültig ab
      Kampagne name Name
      Malware Is_family Ist Familie
      Malware name Name
      Bedrohungsakteur name Name
      Bedrohungsbericht name Name
      Bedrohungsbericht Veröffentlicht Veröffentlicht
      Schwachstelle name Name
      Schwachstelle severity Schweregrad