TISC-Playbook-Vorlagen
In diesem Abschnitt werden die Playbook-Vorlagen beschrieben, die im Lieferumfang der TISC Sentinel-Lösung enthalten sind.
| Anwendungsfall | Playbook | Beschreibung |
|---|---|---|
| Erkennbare Elemente werden aus TISC nach Sentinel importiert | Batch_Indicator_Uploader | Stellt einen Batching-Mechanismus für den Export erkennbarer Elemente aus TISC mithilfe der Upload-Indikatoren-API bereit, die von Microsoft Sentinel bereitgestellt wird. |
| Import_Observables_Batch | Aktiviert den geplanten Export erkennbarer Elemente aus TISC. | |
| Exportieren Sie Entitäten aus Sentinel nach TISC | Export_Incident_Entitäten | Exportieren Sie alle Entitäten eines Sentinel-Incidents. |
| Export_Hash_Entity | Exportieren Sie Datei-Hash-Entitäten des Sentinel-Incidents. | |
| Export_Domain_Entity-Entitäten | Exportieren Sie Domänenentitäten des Sentinel-Incidents. | |
| Export_IP_Entity | Exportieren Sie IP-Entitäten des Sentinel-Incidents. | |
| Export_URL_Entity | Export-URL-Entitäten des Sentinel-Incidents. | |
| Bereichern Sie Sentinel-Incidents | Incident_Enrichment | Ermöglicht die Ergänzung von Sentinel-Incidents, indem Details zu Entitäten abgerufen werden, die ihm zugeordnet sind, und Informationen in Form von Kommentaren zum Incident veröffentlicht werden. |
Hinweis:
Alle Playbooks verwenden intern TISC Custom Connector, um TISC-APIs zu verwenden.
Erstellen Sie Playbooks aus Vorlagen
- Navigieren Sie zu T ISC-Lösung Inhaltsseite aus dem Content Hub im Sentinel-Arbeitsbereich .
- Gehen Sie für jedes Playbook, das auf der Inhaltsseite angezeigt wird, wie folgt vor:
- Wählen Sie die Playbook-Vorlage aus. Auf der rechten Seite des Bildschirms wird ein Kontextbereich angezeigt Konfiguration .
- Lesen Sie die Beschreibung der Playbook-Vorlage, und gehen Sie durch Voraussetzungen Und Nach der Bereitstellung Schritte, die in der Beschreibung erwähnt werden.
- Klicken Sie auf Anwenderdefinierten Connector bereitstellen (Wenn Sie den anwenderdefinierten Connector noch nicht bereitgestellt haben).
Fügen Sie hinzu ServiceNow-Instanz-URL Auf der Bereitstellungskonfiguration Seite.
- Klicken Sie Auf Erstellen Sie Ein Playbook , Werden Sie zum Bildschirm „Bereitstellungskonfiguration“ weitergeleitet
- Auf dem Bildschirm Playbook-Konfiguration erstellen:
- Wählen Sie die entsprechende Ressourcengruppe aus.
- Ändern Sie den Playbook-Namen, oder verwenden Sie den Standardnamen.
- Geben Sie an Anwenderdefinierter Connector-name E (stellen Sie sicher, dass dies mit dem Namen des Connectors übereinstimmt, den Sie im vorherigen Schritt bereitgestellt haben) im Abschnitt „Parameter“.
- Klicken Sie Auf Überprüfen und erstellen .
Konfigurieren Sie das Playbook „Import_observables_Batch“
Stellen Sie sicher, dass Sie das Playbook „Batch_Indicator_Uploader“ erstellen, bevor das Playbook „Import_observables_Batch“ erstellt wird.
- Navigieren zu Zum Bearbeiten des Playbooks.
- Aktualisieren Sie die Wiederholungszeit (in Stunden) nach Bedarf.
- Aktualisieren Sie in der Komponente „Anwenderdefinierter TISC-Connector“ im Playbook die Parameter, die an die TISC-API gesendet werden.
Parametername Beschreibung Erkennbarer Typ Im Folgenden sind die unterstützten Typen aufgeführt. Wählen Sie mindestens einen aus: - IP
- Datei-Hash
- Domäne
- URL
Bedrohungsbewertung Geben Sie die Bedrohungspunktzahl für erkennbare Elemente ein. Der Bedrohungspunktzahlwert MUSS eine Zahl im Bereich von 0 bis 100 sein. Vertrauen Geben Sie die Konfidenz für erkennbare Elemente ein. Der Konfidenzwert MUSS eine Zahl im Bereich von 0–100 sein.
Reputation Im Folgenden sind die unterstützten Werte aufgeführt. Wählen Sie mindestens einen aus: - Clean
- Böswillig
- Verdächtig
- Unbekannt
Bedrohungsschweregrad Im Folgenden sind die unterstützten Schweregradstufen aufgeführt. Wählen Sie mindestens einen aus: - Kritisch
- Hoch
- Mittel
- Niedrig
Bedrohungsstufe Im Folgenden sind die unterstützten Bedrohungsstufen aufgeführt. Wählen Sie mindestens eine aus: - Hoch
- Mittel
- Niedrig
Zuletzt aktualisiertes Delta in Stunden Die letzte Aktualisierungszeit (in Stunden) für erkennbare Elemente.
Konfigurieren Sie das Playbook „Export_Incident_Entities“
Dieses Playbook verwendet die TISC-API „erkennbare Elemente hinzufügen“. Mit dem Logic-App-Designer können Sie die Parameter bearbeiten, die aus dem Playbook an die API gesendet werden. Weitere Informationen finden Sie unter TISC-API – POST /sn_sec_tisc/Threat_intel_Data/add_observables .
Sie können das gleiche Verfahren für alle unten aufgeführten Playbooks ausführen, die verschiedene Arten von Entitäten exportieren:
- Export_Hash_Entity
- Export_Domain_Entity
- Export_IP_Entity
- Export_URL_Entity
Konfigurieren Sie das Playbook „Incident_Enrichment“
Dieses Playbook verwendet die TISC-API erkennbarer Elemente. Mit dem Logic-App-Designer können Sie die Parameter bearbeiten, die aus dem Playbook an die API gesendet werden. Weitere Informationen finden Sie unter TISC-API – POST /sn_sec_tisc/Threat_intel_Data/observables .
Führen Sie Playbooks aus
In der folgenden Tabelle wird beschrieben, wie Sie die folgenden Playbooks ausführen können.
| Playbook | Aktion |
|---|---|
| Import_Observables_Batch | Dieses Playbook wird automatisch basierend auf der geplanten Zeit ausgeführt, die im Wiederholungsauslöser erwähnt wird. |
| Export_Incident_Entitäten | Wählen Sie für einen Sentinel-Incident die Option aus Zur Ausführung. |
| Export_Hash_Entity | Wählen Sie für einen Sentinel-Incident die Option aus Zur Ausführung. |
| Export_Domain_Entity | Wählen Sie für einen Sentinel-Incident die Option aus Zur Ausführung. |
| Export_IP_Entity | Wählen Sie für einen Sentinel-Incident die Option aus Zur Ausführung. |
| Export_URL_Entity | Wählen Sie für einen Sentinel-Incident die Option aus Zur Ausführung. |
| Incident_Enrichment | Wählen Sie für einen Sentinel-Incident die Option aus Zur Ausführung. |