Modelos de playbook do TISC

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Esta seção descreve os modelos de playbook que são enviados com a solução TISC Sentinel.

    Tabela 1. Casos de uso do PlaybookA tabela a seguir descreve os vários casos de uso do playbook.
    Caso de uso Playbook Descrição
    Importação de observáveis do TISC para o Sentinel Batch_Indicator_Uploader Fornece mecanismo em lote para exportar observáveis do TISC usando a API de indicadores de carregamento fornecida pelo Microsoft Sentinel.
    Import_observables_Batch Habilita a exportação programada de observáveis do TISC.
    Exporte entidades do Sentinel para o TISC Export_Incident_Entities Exporte todas as entidades de um incidente do Sentinel.
    Export_Hash_Entity Exporte entidades de hash de arquivo do incidente do Sentinel.
    Entidades Export_Domain_Entity Exporte entidades de domínio do incidente do Sentinel.
    Export_ip_entity Exporte entidades IP do incidente do Sentinel.
    Export_url_entity Exportar entidades de URL do incidente do Sentinel.
    Enriquecer incidentes do Sentinel Incident_RICHRICH Habilita o aprimoramento de incidentes do Sentinel buscando detalhes relacionados a entidades associadas a ele e publicando informações na forma de comentários sobre o incidente.
    Nota:
    Todos os playbooks usam o Conector personalizado do TISC internamente para usar as APIs do TISC.

    Criar playbooks a partir de modelos

    1. Navegue até T Solução ISC página de conteúdo do Hub de conteúdo no Espaço do Sentinel .
    2. Para cada playbook mostrado na página de conteúdo, faça o seguinte:
      1. Selecione o modelo do playbook, um painel de contexto será exibido no lado direito da tela, clique em Configuração .
      2. Leia a descrição do modelo de playbook e passe por Pré-requisitos e. Pós-implantação etapas mencionadas na descrição.
      3. Clique em Implantar conector personalizado (se você ainda não implantou o conector personalizado).

        Adicione URL da instância da ServiceNow em Configuração de implantação página.

      4. Clique em Criar Playbook você será levado para a tela de configuração da implantação
      5. Na tela Criar configuração do playbook:
        • Selecione o grupo de recursos apropriado.
        • Modifique o nome do playbook ou use o nome padrão.
        • Forneça o. nam do conector personalizado E (certifique-se de corresponder ao nome do conector implantado na etapa anterior) na seção Parâmetros.
        • Clique em Revise e crie .

    Configure o playbook Import_Observables_Batch

    Certifique-se de criar o playbook Batch_Indicator_Uploader antes de criar o playbook Import_Observables_Batch.
    1. Navegar até Designer de aplicações lógicas para editar o playbook.
    2. Atualize o tempo de recorrência (em horas) conforme necessário.
    3. No componente Conector personalizado do TISC no playbook, atualize os parâmetros que são enviados para a API do TISC.
      Nome do Parâmetro Descrição
      Tipo de Observável A seguir estão os tipos compatíveis, selecione um ou mais:
      • IP
      • Hash de Arquivo
      • Domínio
      • URL
      Pontuação de ameaça Insira a pontuação de ameaça para observáveis. O valor da pontuação de ameaça DEVE ser um número no intervalo de 0 a 100.
      Confiança Insira a confiança para observáveis.

      O valor de confiança DEVE ser um número no intervalo de 0 a 100.
      Reputação A seguir estão os valores compatíveis, selecione um ou mais:
      • Limpar
      • Mal-intencionado
      • Suspeito
      • Desconhecido
      Gravidade da ameaça A seguir estão os níveis de gravidade compatíveis, selecione um ou mais:
      • Crítico
      • Alto(a)
      • Média 
      • Baixo(a)
      Nível de ameaça A seguir estão os níveis de ameaça compatíveis, selecione um ou mais:
      • Alto(a)
      • Média 
      • Baixo(a)
      Delta atualizado pela última vez em horas A hora da última atualização (em horas) dos observáveis.

    Configure o playbook Export_Incident_Entities

    Este playbook usa a API de adição de observáveis do TISC. Usando o Designer de aplicativo lógico, você pode editar os parâmetros que são enviados para a API do playbook. Para obter mais informações, consulte TISC - POST /sn_sec_tisc/threat_intel_data/add_observables .

    Você pode seguir o mesmo procedimento para todos os playbooks listados abaixo que exportam diferentes tipos de entidades:
    • Export_Hash_Entity
    • Export_Domain_Entity
    • Export_ip_entity
    • Export_url_entity

    Configure o playbook Incident_Enrichment

    Este playbook usa a API Observables TISC. Usando o Designer de aplicativo lógico, você pode editar os parâmetros que são enviados para a API do playbook. Para obter mais informações, consulte TISC - POST /sn_sec_tisc/threat_intel_data/observables .

    Executar playbooks

    A tabela a seguir descreve como você pode executar os playbooks a seguir.
    Playbook Ação
    Import_observables_Batch Este playbook é executado automaticamente com base na hora programada mencionada no gatilho de recorrência.
    Export_Incident_Entities Em um incidente do Sentinel, selecione Ações de incidente > Executar Playbook para execução.
    Export_Hash_Entity Em um incidente do Sentinel, selecione Entidade de hash de arquivo > Executar Playbook para execução.
    Export_Domain_Entity Em um incidente do Sentinel, selecione Entidade de domínio > Executar Playbook para execução.
    Export_ip_entity Em um incidente do Sentinel, selecione Entidade IP > Executar Playbook para execução.
    Export_url_entity Em um incidente do Sentinel, selecione Entidade de URL > Executar Playbook para execução.
    Incident_RICHRICH Em um incidente do Sentinel, selecione Ações de incidente > Executar Playbook para execução.