Fluxos de trabalho e atividades da Orquestração de inteligência contra ameaças
O sistema de base inclui fluxos de trabalho e atividades de fluxo de trabalho que você pode usar para automatizar ações em sua instância.
Inteligência contra ameaças - Executar fluxo de trabalho de pesquisa de IOC
. Inteligência contra ameaças - Executar pesquisa de IOC o fluxo de trabalho verifica se há um observável não expirado e, em caso afirmativo, a pesquisa será definida como Concluído e atualizados com os dados do observável.
Antes de Iniciar
Função necessária: sn_si.basic
Se uma pesquisa for inserida ou atualizada e atender às condições, a regra de negócios Pesquisar acionará este fluxo de trabalho.
Por Que e Quando Desempenhar Esta Tarefa
. Inteligência contra ameaças - Executar pesquisa de IOC o fluxo de trabalho verifica se há um observável não expirado e, em caso afirmativo, a pesquisa será definida como Concluído e atualizados com os dados do observável. Todos os indicadores associados ao observável são reativados.
Se o observável expirar, o fluxo de trabalho executará as pesquisas e incrementará o. Contagem de vistas no observável existente expirado.
Se não existir nenhum observável correlacionado, um novo observável com indicador será criado.
- Preencher pesquisa com atividade observável
- Executar atividade de pesquisa de IOC
- Aguardar pesquisa (atividade principal)
- Atualizar observável com atividade de resultado de pesquisa
Preencher pesquisa com atividade observável
Se um observável não expirado for encontrado, o. Orquestração de inteligência contra ameaças - Preencher pesquisa com observável a atividade de fluxo de trabalho fornece dados de um observável existente para uma pesquisa. Esta atividade pode acelerar o processo de investigação e correção.
Quando acionado por um fluxo de trabalho Preencher pesquisa com observável tenta encontrar um observável existente para uma pesquisa que corresponda a. valor e. tipo da pesquisa fornecida à atividade como entrada.
Se o observável existir e não tiver expirado, esta atividade:
- Atualiza a pesquisa com as informações encontradas no observável
- Reativa um indicador se ele estiver inativo, incrementa o. Contagem encontrada e atualiza o. Visto pela última vez data
- Conjuntos Estado Para concluir.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável de entrada | Descrição |
|---|---|
| ScanID[cadeia de caracteres] | identificador de pesquisa |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variáveis de saída | Descrição |
|---|---|
| Verdadeiro(a) | Observável válido encontrado e pesquisa atualizada. |
| Falso(a) | Observável válido não encontrado. O observável está ausente ou expirou. |
Executar atividade de pesquisa de IOC
. Orquestração de inteligência contra ameaças - Executar pesquisa de IOC a atividade de fluxo de trabalho executa uma determinada pesquisa. Esta atividade pode acelerar o processo de investigação e correção.
Quando acionado por um fluxo de trabalho, Executar pesquisa de IOC Usa um ScanID, pesquisa o registro de pesquisa e adiciona a pesquisa à fila criando uma entrada de fila de pesquisa.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| ScanID[cadeia de caracteres] | identificador de pesquisa |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| Verdadeiro(a) | Acionou a pesquisa. |
| Falso(a) | Não acionou a pesquisa. |
Atualizar observável com atividade de resultado de pesquisa
. Orquestração de inteligência contra ameaças - Atualize o observável com o resultado da pesquisa a atividade de fluxo de trabalho atualiza o registro do observável. Se um não existir, ele criará um novo observável. Esta atividade é útil para registrar informações em log.
Quando acionado por um fluxo de trabalho Atualizar observável com resultado da pesquisa atualiza um observável existente para incluir o novo Contagem de vistas adiciona uma anotação e, se inativo, reativa todos os indicadores. . Contagem encontrada e. Visto pela última vez as datas no indicador também são atualizadas.
Se não houver observável correlacionado, o fluxo de trabalho criará um novo observável com o indicador da seguinte forma:
- Executa as pesquisas de IOC
- Cria um novo observável
- Cria um indicador para o observável
- Adiciona um Contagem de vistas para o observável
- Adiciona um Contagem encontrada e. Visto pela última vez data do indicador
- Adiciona uma mensagem indicando a partir de qual pesquisa foi criada
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| ScanID[cadeia de caracteres] | Identificador de pesquisa. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| Verdadeiro(a) | A atualização ou criação do observável foi bem-sucedida. |
| Falso(a) | Falha na atualização ou criação do observável. |
Atividade Executar origens de pesquisa de IOC padrão
Quando acionado por um fluxo de trabalho, Inteligência contra ameaças- Executar origens de pesquisa de IOC padrão Obtém um ID de solicitação de pesquisa e cria várias pesquisas dependendo dos valores de dados inseridos.
Para cada tipo de dados, o varredura include_in_bulk a coluna da tabela de tipo de pesquisa compatível de cada origem de pesquisa é avaliada. Se verdadeiro, uma pesquisa será adicionada à solicitação de pesquisa.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| scan_request_id | Identificador do sistema de solicitação de pesquisa |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| Número de verificações criadas | Inteiro |