Modelos de playbook do TISC

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 3 min. de leitura

    • Esta seção descreve os modelos de playbook que são fornecidos com a solução do TISC Sentinel.

    Tabela 1. Casos de uso do playbookA tabela a seguir descreve os vários casos de uso do playbook.
    Caso de uso Playbook Descrição
    Importando observáveis do TISC para o Sentinel Batch_Indicator_Uploader Fornece mecanismo em lote para exportar observáveis do TISC usando a API de indicadores de carregamento fornecida pelo Microsoft Sentinel.
    Import_observables_Batch Habilita a exportação agendada de observáveis do TISC.
    Exporte entidades do Sentinel para o TISC Exportar_Incidente_Entidades Exporte todas as entidades de um incidente Sentinel.
    Export_Hash_Entity Exporte entidades de hash de arquivo do incidente Sentinel.
    Entidades Export_Domain_Entity Exporte entidades de domínio do incidente Sentinel.
    Export_ip_entity Exporte entidades IP do incidente Sentinel.
    Export_url_entity Exporte entidades de URL do incidente Sentinel.
    Aprimorar incidentes Sentinel Incident_enrichment Permite o aprimoramento de incidentes Sentinel buscando detalhes relacionados às entidades associadas a ele e publicando informações na forma de comentários sobre o incidente.
    Nota:
    Todos os playbooks usam o Conector personalizado do TISC internamente para usar APIs do TISC.

    Crie playbooks a partir de modelos

    1. Navegue até T Solução ISC página de conteúdo do Hub de conteúdo no Espaço Sentinel .
    2. Para cada playbook mostrado na página de conteúdo, faça o seguinte:
      1. Selecione o modelo de playbook, um painel de contexto é exibido no lado direito da tela, clique em Configuração .
      2. Leia a descrição do modelo de playbook, passe por Pré-requisitos e. Pós-implantação etapas mencionadas na descrição.
      3. Clique em Implantar conector personalizado (se você ainda não implantou o conector personalizado).

        Adicione o. URL da instância da ServiceNow em Configuração de implantação página.

      4. Clique em Criar playbook , você será levado para a tela de configuração de implantação
      5. Na tela Criar configuração do playbook:
        • Selecione o grupo de recursos apropriado.
        • Modifique o nome do playbook ou use o nome padrão.
        • Forneça o. nome do conector personalizado E (certifique-se de corresponder ao nome do conector implantado na etapa anterior) na seção Parâmetros.
        • Clique em Revise e crie .

    Configure o playbook Import_observables_Batch

    Certifique-se de criar o playbook Batch_Indicator_Uploader antes de criar o playbook Import_observables_Batch.
    1. Navegar até Designer de app lógico para editar o playbook.
    2. Atualize o tempo de recorrência (em horas) conforme necessário.
    3. No componente Conector personalizado do TISC no playbook, atualize os parâmetros que são enviados para a API do TISC.
      Nome do parâmetro Descrição
      Tipo de observável A seguir estão os tipos compatíveis, selecione um ou mais:
      • IP
      • Hash de Arquivo
      • Domínio
      • URL
      Pontuação de ameaça Insira a pontuação de ameaça para observáveis. O valor da pontuação de ameaça DEVE ser um número no intervalo de 0 a 100.
      Confiança Insira a confiança dos observáveis.

      O valor de confiança DEVE ser um número no intervalo de 0 a 100.
      Reputação A seguir estão os valores compatíveis, selecione um ou mais:
      • Limpar
      • Mal-intencionado
      • Suspeito
      • Desconhecido
      Gravidade da ameaça A seguir estão os níveis de gravidade compatíveis, selecione um ou mais:
      • Crítico
      • Alto
      • Médio 
      • Baixa
      Nível de ameaça A seguir estão os níveis de ameaça compatíveis, selecione um ou mais:
      • Alto
      • Médio 
      • Baixa
      Delta atualizado pela última vez em horas A hora da última atualização (em horas) dos observáveis.

    Configure o playbook Export_Incident_Entities

    Este playbook usa a API Adicionar observáveis do TISC. Usando o Designer de app lógico, você pode editar os parâmetros que são enviados para a API do playbook. Para obter mais informações, consulte TISC - POST /sn_sec_tisc/ameaça_intel_data/add_observables .

    Você pode seguir o mesmo procedimento para todos os playbooks listados abaixo que exportam diferentes tipos de entidades:
    • Export_Hash_Entity
    • Export_Domain_Entity
    • Export_ip_entity
    • Export_url_entity

    Configure o playbook Incident_Enrichment

    Este playbook usa a API de observáveis do TISC. Usando o Designer de app lógico, você pode editar os parâmetros que são enviados para a API do playbook. Para obter mais informações, consulte TISC - POST /sn_sec_tisc/ameaça_intel_data/observables .

    Execute playbooks

    A tabela a seguir descreve como você pode executar os playbooks a seguir.
    Playbook Ação
    Import_observables_Batch Este playbook é executado automaticamente com base no horário agendado mencionado no gatilho de recorrência.
    Exportar_Incidente_Entidades Em um incidente Sentinel, selecione Ações de incidente > Execute o playbook para execução.
    Export_Hash_Entity Em um incidente Sentinel, selecione Entidade de hash de arquivo > Execute o playbook para execução.
    Export_Domain_Entity Em um incidente Sentinel, selecione Entidade de domínio > Execute o playbook para execução.
    Export_ip_entity Em um incidente Sentinel, selecione Entidade IP > Execute o playbook para execução.
    Export_url_entity Em um incidente Sentinel, selecione Entidade de URL > Execute o playbook para execução.
    Incident_enrichment Em um incidente Sentinel, selecione Ações de incidente > Execute o playbook para execução.