Gatilhos de webhook

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 6 min. de leitura

    • Os gatilhos do webhook são usados para filtrar as entidades de inteligência contra ameaças que precisam ser rastreadas para quaisquer mudanças de evento, como Criar, Atualizar e Excluir.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Selecionar Configurações de webhooks > Gatilhos.
      A página Gatilhos de webhooks é exibida.
    3. Clique em Nova.
      CampoDescrição
      Nome Insira um nome de gatilho de webhook.
      Descrição Adicione a descrição do gatilho do webhook.
      Tabela Selecione a tabela para o gatilho do webhook.
      Tipo de gatilho Define se o gatilho de webhook configurado é criar/atualizar/excluir evento na tabela especificada.

      Campos do gatilho : Isso é exibido quando você seleciona Tipo de gatilho: Atualização .

      Esta é a lista de campos no registro para os quais o evento de atualização precisa ser rastreado. Se estiver vazio, o evento será considerado para qualquer mudança de campo no registro. Por exemplo, se os campos do gatilho forem Confiança e. Reputação para Observáveis , este gatilho é considerado somente quando os campos confiança ou reputação são atualizados.
      Nota:
      Os campos selecionados nos Campos de exclusão não estarão disponíveis na seleção de Campos do gatilho.

      Excluir : Se o Tipo de gatilho: Excluir Os Campos de exclusão não ficam visíveis.
      Campos de exclusão Este é o conjunto de campos que são excluídos da carga útil do gatilho do webhook.
      Condições do filtro Condições opcionais que podem ser aplicadas para filtrar os registros de correspondência para qualquer gatilho de evento. Por exemplo, se a Severidade da ameaça for alta e o Tipo de gatilho for definido como Atualizar na Tabela observável, somente os observáveis alterados e onde a Severidade da ameaça for alta serão enviados para o URL do webhook.
    4. Clique em Salvar.
      Por padrão, o gatilho é criado no estado desabilitado.
    5. Clique em Habilitar para habilitar o gatilho e este gatilho estará disponível para assinatura dos webhooks.
      Nota:
      Clique em Desabilitar desabilitar o gatilho habilitado e desabilitá-lo cancelará a assinatura de todos os webhooks associados deste gatilho.
    6. Clique em Exibir carga útil de amostra para selecionar o registro.
      Exiba a carga de amostra desse gatilho de webhook específico. Com base na tabela selecionada, os registros dessa tabela especificada serão preenchidos em Selecione Registro lista suspensa. Selecione o registro para exibir a carga de amostra. A carga de amostra é mostrada no formato JSON. Os campos na carga estão listados abaixo.
    7. Selecione o tipo de registro na lista suspensa.
      A carga será alterada automaticamente com base no registro selecionado.
      {
    "record": "Observable",
    "record_fields": {
        "additional_context": "This could be a potential malicious IP. ",
        "attack_phases": "Lockheed Martin: Command and Control",
        "author": "Anomali",
        "confidence": "50",
        "description": "This could be a potential malicious IP. ",
        "expiration_time": "2024-12-01T00:00:00.000Z",
        "first_observed": "2024-01-01T00:00:00.000Z",
        "first_seen": "2024-01-01T00:00:00.000Z",
        "id": "ipv4-addr--70526b0a436a02102164e0ea78b8f210",
        "is_defanged": "false",
        "is_false_positive": "false",
        "last_observed": "2024-01-01T00:00:00.000Z",
        "last_seen": "2024-01-01T00:00:00.000Z",
        "reputation": "suspicious",
        "source_count": "1",
        "status": "active",
        "sys_created_by": "SecCommon.System",
        "sys_created_on": "2024-06-04T00:00:00.000Z",
        "sys_id": "30526b0a436a02102164e0ea78b8f210",
        "sys_updated_by": "system",
        "sys_updated_on": "2024-06-15T00:00:00.000Z",
        "tags": "critical",
        "taxonomies": "MITRE: T121",
        "threat_level": "medium",
        "threat_score": "24",
        "threat_severity": "medium",
        "tlp": "CLEAR",
        "type": "ip_v4_address",
        "usage_categories": "APT",
        "value": "116.98.170.70"
    },
    "trigger": {
        "name": "Observable Update",
        "type": "UPDATE",
        "trigger_time": "2024-07-26T07:27:29.000Z",
        "trigger_fields": [
            {
                "field_name": "confidence",
                "previous_value": "30",
                "current_value": "50"
            }
        ]
    }
}
      Tabela 1. Lista de parâmetros na carga do gatilho
      Parâmetro na Carga do gatilho Tipo Descrição
      registro Cadeia de caracteres Especifica o tipo de registro, como Observável ou Indicador.
      record_fields Objeto Especifica o snapshot dos campos de registro quando o evento é gerado. Para obter a lista de campos compatíveis, consulte a tabela na seção abaixo.
      gatilho Objeto Especifica as informações do gatilho correspondentes.
      trigger.name Cadeia de caracteres Especifica o nome do gatilho
      gatilho.type Cadeia de caracteres Especifica o tipo de gatilho. Os valores válidos são CREATE, UPDATE, DELETE.
      gatilho.trigger_time Data (no formato ISO com fuso horário UTC) Especifica a hora em que o evento ocorreu no registro.
      trigger_fields Matriz de objetivos Disponível somente para o tipo de gatilho de ATUALIZAÇÃO. Especifica a lista de campos do gatilho que foram alterados como parte do evento ocorrido. Os parâmetros dentro trigger_fields :
      • field_name : fornece o nome do campo que foi alterado
      • previous_value : fornece o valor anterior do campo.
      • current_value : fornece o valor atual do campo.
      Tabela 2. Lista de campos compatíveis para Criar e atualizar gatilhos
      Tabela Nome da Coluna Rótulo da Coluna
      Campanha aliases Aliases
      Campanha descrição Descrição
      Campanha first_seen Visto pela primeira vez
      Campanha last_seen Visto pela última vez
      Campanha nome Nome
      Campanha objetivo Objetivo
      Indicador adicional_context Contexto adicional
      Indicador attack_phases Fases de ataque
      Indicador autor Autor
      Indicador confiança Confiança
      Indicador descrição Descrição
      Indicador expiration_time Tempo de expiração
      Indicador first_detected Detectado pela primeira vez
      Indicador first_observed Observado pela primeira vez
      Indicador first_seen Visto pela primeira vez
      Indicador id ID
      Indicador indicator_types Tipos de Indicador
      Indicador ioc_classification Classificação IOC
      Indicador last_observed Última observação
      Indicador last_seen Visto pela última vez
      Indicador nome Nome
      Indicador padrão Padrão
      Indicador pattern_type Tipo de padrão
      Indicador pattern_version Versão do padrão
      Indicador plataformas Plataformas
      Indicador revogado Revogado
      Indicador source_count Nº de origens
      Indicador spec_version Versão de especificação
      Indicador status Status
      Indicador marcadores Marcadores de TISC
      Indicador taxonomias Taxonomias
      Indicador threat_level Nível de ameaça
      Indicador threat_severity Gravidade da ameaça
      Indicador tlp TLP
      Indicador usage_categories Categorias de uso
      Indicador valid_from Válido de
      Indicador valid_until Válido Até
      Malware aliases Aliases
      Malware attack_phases Fases de ataque
      Malware descrição Descrição
      Malware executable_process_archetectures Arquiteturas de processo
      Malware first_seen Visto pela primeira vez
      Malware implementation_languages Idiomas de implementação
      Malware is_family É família
      Malware last_seen Visto pela última vez
      Malware malware_capabilities Capacidades do malware
      Malware malware_types Tipos de malware
      Malware nome Nome
      Objeto (Campos de objeto comum) adicional_context Contexto adicional
      Objeto (Campos de objeto comum) confiança Confiança
      Objeto (Campos de objeto comum) expiration_time Tempo de expiração
      Objeto (Campos de objeto comum) id ID
      Objeto (Campos de objeto comum) revogado Revogado
      Objeto (Campos de objeto comum) source_count Nº de origens
      Objeto (Campos de objeto comum) spec_version Versão de especificação
      Objeto (Campos de objeto comum) status Status
      Objeto (Campos de objeto comum) marcadores Marcadores de TISC
      Objeto (Campos de objeto comum) taxonomias Taxonomias
      Objeto (Campos de objeto comum) threat_level Nível de ameaça
      Objeto (Campos de objeto comum) threat_severity Gravidade da ameaça
      Objeto (Campos de objeto comum) tlp TLP
      Observável adicional_context Contexto adicional
      Observável attack_phases Fases de ataque
      Observável autor Autor
      Observável confiança Confiança
      Observável descrição Descrição
      Observável expiration_time Tempo de expiração
      Observável first_observed Observado pela primeira vez
      Observável first_seen Visto pela primeira vez
      Observável id ID
      Observável _defanged Está danificado
      Observável é_falso_positivo É falso-positivo
      Observável last_observed Última observação
      Observável last_seen Visto pela última vez
      Observável reputação Reputação
      Observável source_count Nº de origens
      Observável status Status
      Observável marcadores Marcadores de TISC
      Observável taxonomias Taxonomias
      Observável threat_level Nível de ameaça
      Observável threat_score Pontuação de ameaça
      Observável threat_severity Gravidade da ameaça
      Observável tlp TLP
      Observável tipo Tipo
      Observável usage_categories Categorias de uso
      Observável valor Valor
      Agente da ameaça aliases Aliases
      Agente da ameaça descrição Descrição
      Agente da ameaça first_seen Visto pela primeira vez
      Agente da ameaça objetivos Objetivos
      Agente da ameaça last_seen Visto pela última vez
      Agente da ameaça nome Nome
      Agente da ameaça personal_motivations Motivações pessoais
      Agente da ameaça primary_motivation Motivação primária
      Agente da ameaça resource_level Nível de recurso
      Agente da ameaça secondary_motivations Motivações secundárias
      Agente da ameaça sofisticação Sofisticação
      Agente da ameaça threat_actor_roles Funções de agente da ameaça
      Agente da ameaça threat_actor_types Tipos de Agente da Ameaça
      Relatório de ameaças descrição Descrição
      Relatório de ameaças nome Nome
      Relatório de ameaças publicado Publicado
      Relatório de ameaças report_types Tipos de relatório
      Vulnerabilidade affected_software Software afetado
      Vulnerabilidade descrição Descrição
      Vulnerabilidade exploalization_status Status de exploração
      Vulnerabilidade exploit_exists Explorar Itens Existentes
      Vulnerabilidade nome Nome
      Vulnerabilidade publicado Publicado
      Vulnerabilidade record_last_modified Última modificação do registro
      Vulnerabilidade severidade Gravidade
      Abaixo está a lista de campos do sistema aplicáveis que são comuns a cada entidade, e eles são compatíveis com a Carga do gatilho do webhook para criar e atualizar gatilhos.
      • Sys_id (SYS ID)
      • Sys_created_on (criado)
      • Sys_created_by (Criado por)
      • Sys_updated_on (Atualizado)
      • Sys_updated_by (Atualizado por)
      Nota:
      Para Excluir, somente o sys_id (SYS ID) é enviado para a URL do endpoint do webhook como parte da carga útil e outros campos do sistema não são compatíveis.
      Tabela 3. Lista de campos compatíveis para Excluir gatilho
      Tabela Nome da Coluna Rótulo da Coluna
      Observável tipo Tipo
      Observável valor Valor
      Indicador nome Nome
      Indicador padrão Padrão
      Indicador pattern_type Tipo de padrão
      Indicador valid_from Válida de
      Campanha nome Nome
      Malware is_family Família
      Malware nome Nome
      Agente da ameaça nome Nome
      Relatório de ameaças nome Nome
      Relatório de ameaças publicado Publicado
      Vulnerabilidade nome Nome
      Vulnerabilidade severidade Gravidade