Workflows und Aktivitäten von Threat Intelligence Orchestration
Das Basissystem enthält Workflows und Workflow-Aktivitäten, mit denen Sie Aktionen in Ihrer Instanz automatisieren können.
Threat Intelligence IoC-Such-Workflow ausführen
Der Workflow „ Threat Intelligence – IoC -Suche ausführen“ überprüft, ob ein nicht abgelaufenes erkennbares Element vorhanden ist. Wenn dies der Fall ist, wird die Suche auf Abgeschlossen gesetzt und mit den Daten aus dem erkennbaren Element aktualisiert.
Vorbereitungen
Erforderliche Rolle: sn_si.basic
Wenn eine Suche eingefügt oder aktualisiert wird und die Bedingungen erfüllt, löst die Business Rule Suche diesen Workflow aus.
Warum und wann dieser Vorgang ausgeführt wird
Der Workflow „ Threat Intelligence – IoC -Suche ausführen“ überprüft, ob ein nicht abgelaufenes erkennbares Element vorhanden ist. Wenn dies der Fall ist, wird die Suche auf Abgeschlossen gesetzt und mit den Daten aus dem erkennbaren Element aktualisiert. Alle mit dem erkennbaren Element verknüpften Indikatoren werden erneut aktiviert.
Wenn das erkennbare Element abgelaufen ist, führt der Workflow die Suchvorgänge aus und erhöht die Sichtungsanzahl im vorhandenen, abgelaufenen erkennbaren Element.
Wenn kein korrelierendes erkennbares Element vorhanden ist, wird ein neues erkennbares Element mit Indikator erstellt.
Füllen Sie die Suche mit der Aktivität „Erkennbares Element“ aus
Wenn ein nicht abgelaufenes erkennbares Element gefunden wird, stellt die Workflow-Aktivität Threat Intelligence Orchestration – Suche mit erkennbarem Element ausfüllen Daten aus einem vorhandenen erkennbaren Element für eine Suche bereit. Diese Aktivität kann den Untersuchungs- und Korrekturprozess beschleunigen.
Wenn durch einen Workflow „Suche mit erkennbarem Element ausfüllen “ ausgelöst, wird versucht, ein vorhandenes erkennbares Element für eine Suche zu finden, die dem Wert und Typ der Suche entspricht, die der Aktivität als Eingabe bereitgestellt wurde.
Wenn das erkennbare Element vorhanden und nicht abgelaufen ist, wird diese Aktivität:
- Aktualisiert die Suche mit den im erkennbaren Element gefundenen Informationen
- Reaktiviert einen Indikator, wenn er inaktiv ist, erhöht die Anzahlder erkannten Fälle und aktualisiert das Zuletzt gesehen -Datum
- Legt den Status auf „Abgeschlossen“ fest.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Eingabevariablen | Beschreibung |
|---|---|
| scanID[Zeichenfolge] | Suchbezeichner |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Ausgabevariablen | Beschreibung |
|---|---|
| Wahr | Gültiges erkennbares Element gefunden und Suche aktualisiert. |
| Falsch | Es wurde kein gültiges erkennbares Element gefunden. Erkennbares Element fehlt oder ist abgelaufen. |
IoC-Suchaktivität ausführen
Die Workflow-Aktivität Threat Intelligence Orchestration – IoC- Suche durchführen führt eine bestimmte Suche aus. Diese Aktivität kann den Untersuchungs- und Korrekturprozess beschleunigen.
Wenn IoC -Suche durchgeführt durch einen Workflow ausgelöst wird, wird eine scanID verwendet, der Suchdatensatz wird durchsucht, und die Suche wird der Warteschlange hinzugefügt, indem ein Suchwarteschlangeneintrag erstellt wird.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| scanID[Zeichenfolge] | Suchbezeichner |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Wahr | Die Suche wurde ausgelöst. |
| Falsch | Die Suche wurde nicht ausgelöst. |
Erkennbares Element mit Suchergebnisaktivität aktualisieren
Die Workflow-Aktivität Threat Intelligence Orchestration - Update erkennbares Element mit Suchergebnis aktualisiert den Datensatz des erkennbaren Elements. Wenn keines vorhanden ist, wird ein neues erkennbares Element erstellt. Diese Aktivität ist nützlich für die Protokollierung von Informationen.
Bei Auslösung durch einen Workflow „ Erkennbares Element mit Suchergebnis aktualisieren“ wird ein vorhandenes erkennbares Element mit der neuen Sichtungsanzahlaktualisiert, eine Notiz hinzugefügt und, falls inaktiv, alle Indikatoren erneut aktiviert. Die Anzahl der Konsultationen und das Datum der letzten Anzeige im Indikator werden ebenfalls aktualisiert.
Wenn kein korrelierendes erkennbares Element vorhanden ist, erstellt der Workflow wie folgt ein neues erkennbares Element mit Indikator:
- Führt die IoC-Suchen aus
- Erstellt ein neues erkennbares Element
- Erstellt einen Indikator für das erkennbare Element
- Fügt dem erkennbaren Element eine Sichtungsanzahl hinzu
- Fügt dem Indikator die Anzahl „Erkannt“ und das Datum „ Zuletzt angezeigt“ hinzu
- Fügt eine Meldung hinzu, die angibt, aus welcher Suche sie erstellt wurde
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| scanID[Zeichenfolge] | Suchbezeichner. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Wahr | Aktualisierung oder Erstellung des erkennbaren Elements war erfolgreich. |
| Falsch | Fehler beim Aktualisieren oder Erstellen des erkennbaren Elements. |
Führen Sie die Aktivität „Standard-IoC-Suchquellen“ aus
Bei Auslösung durch einen Workflow nimmt Threat Intelligence - Standard-IoC-Suchquellen ausführen eine Suchanforderungs-ID auf und erstellt abhängig von den eingegebenen Datenwerten mehrere Suchvorgänge.
Für jeden Datentyp wird die Scan-Spalte include_in_bulk der unterstützten Suchtyptabelle jeder Suchquelle ausgewertet. Bei „true“ wird der Suchanforderung eine Suche hinzugefügt.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| scan_request_id | Systembezeichner der Suchanforderung |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Anzahl der erstellten Scans | Ganzzahl |