Activités et workflows Threat Intelligence Orchestration
Le système de base inclut des workflows et des activités de workflow que vous pouvez utiliser pour automatiser les actions sur votre instance.
Renseignements sur les menaces - Exécuter le workflow de recherche IoC
Le workflow Renseignements sur les menaces : exécuter la recherche d’IoC vérifie s’il existe un observable non expiré et, le cas échéant, la recherche est définie sur Terminée et mise à jour avec les données de l’observable.
Avant de commencer
Rôle requis : sn_si.basic
Si une recherche est insérée ou mise à jour et remplit les conditions, la règle métier de recherche déclenche ce workflow.
Pourquoi et quand exécuter cette tâche
Le workflow Renseignements sur les menaces : exécuter la recherche d’IoC vérifie s’il existe un observable non expiré et, le cas échéant, la recherche est définie sur Terminée et mise à jour avec les données de l’observable. Tous les indicateurs associés à l’observable sont réactivés.
Si l’observable a expiré, le workflow exécute les recherches et incrémente le nombre de perceptions dans l’observable existant et expiré.
S’il n’existe aucun observable corrélé, un nouvel observable avec indicateur est créé.
- Remplir la recherche avec l’activité observable
- Effectuer une activité de recherche d’IoC
- Attendre la recherche (activité principale)
- Mettre à jour l’observable avec l’activité de résultat de la recherche
Remplir la recherche avec l’activité observable
Si un observable non expiré est trouvé, l’activité de workflow Orchestration pour la connaissance des menaces : remplir la recherche avec un observable fournit des données d’un observable existant à une recherche. Cette activité peut accélérer le processus d’enquête et de correction.
Lorsqu’elle est déclenchée par un workflow Remplir la recherche avec des observables tente de trouver un observable existant pour une recherche qui correspond à la valeur et au type de la recherche fournie à l’activité en tant qu’entrée.
Si l’observable existe et n’a pas expiré, cette activité :
- Met à jour la recherche avec les informations trouvées dans l’observable
- Réactive un indicateur s’il est inactif, incrémente le nombre de rencontres et met à jour la date de la dernière consultation
- Définit l’état sur Terminé.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable d'entrée | Description |
|---|---|
| scanID[chaîne] | Identificateur de recherche |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures.
| Variables de sortie | Description |
|---|---|
| Vrai | Observable valide trouvé et recherche mise à jour. |
| Faux | Observable introuvable valide. L’observable est manquant ou a expiré. |
Effectuer une activité de recherche d’IoC
L’activité de workflow Orchestration des renseignements sur les menaces : effectuer une recherche d’IoC effectue une recherche donnée. Cette activité peut accélérer le processus d’enquête et de correction.
Lorsqu’elle est déclenchée par un workflow, Effectuer une recherche IoC prend un scanID, recherche l’enregistrement de recherche et ajoute la recherche à la file d’attente en créant une entrée de file d’attente de recherche.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| scanID[chaîne] | Identificateur de recherche |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures.
| Variable | Description |
|---|---|
| Vrai | A déclenché la recherche. |
| Faux | N’a pas déclenché la recherche. |
Mettre à jour l’observable avec l’activité de résultat de la recherche
L’activité de workflow Orchestration des renseignements sur les menaces : mettre à jour l’observable avec le résultat de la recherche met à jour l’enregistrement de l’observable. Si l’un n’existe pas, il crée un nouvel observable. Cette activité est utile pour enregistrer des informations.
Lorsqu’il est déclenché par un workflow, mettre à jour l’observable avec le résultat de la recherche met à jour un observable existant pour inclure le nouveau nombre de perceptions, ajoute une note et, s’il est inactif, réactive tous les indicateurs. Le nombre de rencontres et la date de la dernière consultation dans l’indicateur sont également mis à jour.
S’il n’existe aucun observable corrélé, le workflow crée un nouvel observable avec l’indicateur suivant :
- Exécute les recherches IoC
- Crée un nouvel observable
- Crée un indicateur pour l’observable
- Ajoute un nombre de perceptions à l’observable
- Ajoute un nombre de rencontres et la date de la dernière consultation à l’indicateur
- Ajoute un message indiquant à partir de quelle recherche elle a été créée
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| scanID[chaîne] | Identificateur de recherche. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures.
| Variable | Description |
|---|---|
| Vrai | La mise à jour ou la création d’observable est réussie. |
| Faux | Échec de la mise à jour ou de la création de l’observable. |
Exécuter l’activité de sources de recherche d’IoC par défaut
Lorsqu’elles sont déclenchées par un workflow, Renseignements sur les menacesl’option Exécuter les sources de recherche IoC par défaut prend en compte l’ID d’une demande de recherche et crée plusieurs recherches en fonction des valeurs de données saisies.
Pour chaque type de données, la colonne d’analyse include_in_bulk de la table de type de recherche pris en charge de chaque source de recherche est évaluée. Si vrai, une recherche est ajoutée à la demande de recherche.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| scan_request_id | Rechercher l’identificateur système de la demande |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures.
| Variable | Description |
|---|---|
| Nombre d’analyses créées | Entier |