Der Workflow„Security Operations Integration - Sichtungssuche “ ist ein allgemeiner Workflow, der unabhängig von Integrationen ist. Sie verwendet die konfigurierten Abfragen, um basierend auf den konfigurierten Integrationen, die die Fähigkeit unterstützen, nach einer Reihe von erkennbaren Elementen zu suchen. Verwenden Sie es, um eine Integration wie Splunk oder Elasticsearch zu erfüllen.

Warum und wann dieser Vorgang ausgeführt wird

Wenn einem Security Incident ein erkennbares Element zugeordnet ist, wird dieser Workflow ausgelöst, wenn Sie im Dropdown-Menü Aktionen für ausgewählte Zeilen... auf der Registerkarte Erkennbare Elemente des Security Incident auf Sichtungssuche ausführen klicken.

Workflow-Prozessaktivitäten umfassen:

• Bestimmen Sie die Aktivität „Erkennbare Elemente“.
• Ausführungsnachverfolgung: Beginn der Aktivität
• Timer-Workflow-Aktivität – Wartet eine Sekunde, um eine Sperre zu erhalten.
• Workflow-Aktivität sperren
• Filtern Sie aufgelistete erkennbare Elemente
• Aktivität „Unterstützte Sicherheitsfunktionen abrufen“
• Nachverfolgung der Fähigkeitsausführung – keine implementierte Aktivität
• Entsperren Workflow Aktivität
• Aktivität „Abfragen erkennbarer Sichtungen abrufen“.
• Aktivität „Nachverfolgung der Fähigkeitsausführung – Fehler“.
• Skript ausführen Workflow Aktivität
• Startprogramm für parallele Flows
• Wenn Workflow-Aktivität Wenn Workflow-Aktivität – Iterieren, bis alle entsprechenden Workflows ausgeführt wurden, und die Ergebnisse in einem Array speichern.
• Nachverfolgung der Fähigkeitsausführung: Aktivität abschließen

Spezifische Aktivitäten für diesen Workflow werden hier beschrieben. Weitere Informationen zu anderen Aktivitäten finden Sie unter Allgemeine Integrations-Workflow-Aktivitäten.