TISC プレイブックテンプレート
このセクションでは、TISC Sentinel ソリューションに付属するプレイブックテンプレートについて説明します。
| ユースケース | プレイブック | 説明 |
|---|---|---|
| TISC から Sentinel への観測事象のインポート | Batch_Indicator_Uploader | Microsoft Sentinel が提供するインジケーターのアップロード API を使用して、TISC から観測事象をエクスポートするためのバッチ処理メカニズムを提供します。 |
| Import_Observables_Batch | TISC からの観測事象のスケジュール済みエクスポートを有効にします。 | |
| Sentinel から TISC へのエンティティのエクスポート | Export_Incident_Entities | Sentinel インシデントのすべてのエンティティをエクスポートします。 |
| Export_Hash_Entity | Sentinel インシデントのファイルハッシュエンティティをエクスポートします。 | |
| Export_Domain_Entityエンティティ | Sentinel インシデントのドメインエンティティをエクスポートします。 | |
| Export_IP_Entity | Sentinel インシデントの IP エンティティをエクスポートします。 | |
| Export_URL_Entity | Sentinel インシデントの URL エンティティをエクスポートします。 | |
| Sentinel インシデントを拡張 | Incident_Enrichment | Sentinel インシデントに関連付けられているエンティティに関連する詳細をフェッチし、インシデントに関するコメントの形式で情報を投稿することで、Sentinel インシデントの拡張を有効にします。 |
注:
すべてのプレイブックは、内部で TISC カスタムコネクタを使用して TISC API を使用します。
テンプレートからプレイブックを作成
- Sentinel ワークスペースのコンテンツハブから[ISC ソリューション] コンテンツページに移動します。
- コンテンツページに表示されるプレイブックごとに、次の操作を行います。
- プレイブックテンプレートを選択すると、画面の右側にコンテキストペインが表示されるので、[ 構成] をクリックします。
- プレイブックテンプレートの説明を読み、説明に記載されている 前提条件 と 展開後の 手順を実行します。
- [カスタムコネクタの展開] をクリックします (カスタムコネクタをまだ展開していない場合)。
[展開構成] ページで ServiceNow インスタンスの URL を追加します。
- [ Create Playbook] をクリックすると、展開構成画面に移動します
- [プレイブック構成を作成] 画面で、次の操作を行います。
- 適切なリソースグループを選択します。
- プレイブック名を変更するか、デフォルト名を使用します。
- [パラメーター] セクションに カスタムコネクタの名前を入力します(前のステップで展開したコネクタの名前と一致していることを確認してください)。
- [レビューおよび作成] をクリックします。
Import_Observables_Batchプレイブックの構成
Import_Observables_Batch プレイブックを作成する前にBatch_Indicator_Uploaderプレイブックを作成してください。
- 次のように移動する。 プレイブックを編集します。
- 必要に応じて繰り返し時間 (時間) を更新します。
- プレイブック内の TISC カスタムコネクタコンポーネントから、TISC API に送信されるパラメーターを更新します。
パラメーター名 説明 観察事項タイプ サポートされているタイプは次のとおりです。1 つ以上を選択してください。 - IP
- ファイルハッシュ
- ドメイン
- URL
脅威スコア 観測事象の脅威スコアを入力します。脅威スコア値は、0〜100 の範囲の数値でなければなりません。 信頼性 観測事象の信頼度を入力します。 信頼度値は 0~100 の範囲にする必要があります。
評判 サポートされている値は次のとおりです。1 つ以上を選択します。 - クリーン
- 悪意がある
- 不審
- 不明
脅威の重大度 サポートされている重大度レベルは次のとおりです。1 つ以上を選択してください。 - クリティカル
- 高
- 中
- Low (低)
脅威レベル サポートされている脅威レベルは次のとおりです。1 つ以上を選択してください。 - High (高)
- 中
- Low (低)
最終更新日デルタ (時間単位) 観測事象の最終更新時間 (時間)。
プレイブックExport_Incident_Entities構成
このプレイブックでは、TISC 観測事象追加 API を使用しています。ロジック アプリ デザイナーを使用すると、プレイブックから API に送信されるパラメーターを編集できます。詳細については、「 TISC API - POST /sn_sec_tisc/threat_intel_data/add_observables」を参照してください。
さまざまなタイプのエンティティをエクスポートする以下にリストされているすべてのプレイブックについて、同じ手順を実行できます。
- Export_Hash_Entity
- Export_Domain_Entity
- Export_IP_Entity
- Export_URL_Entity
プレイブックIncident_Enrichment構成
このプレイブックでは、TISC 観測事象 API を使用しています。ロジック アプリ デザイナーを使用すると、プレイブックから API に送信されるパラメーターを編集できます。詳細については、「 TISC API - POST /sn_sec_tisc/threat_intel_data/observables」を参照してください。
プレイブックを実行
次の表では、次のプレイブックを実行する方法について説明します。
| プレイブック | アクション |
|---|---|
| Import_Observables_Batch | このプレイブックは、繰り返しトリガーに記載されているスケジュール時刻に基づいて自動的に実行されます。 |
| Export_Incident_Entities | Sentinelインシデントで、 実行のために。 |
| Export_Hash_Entity | Sentinelインシデントで、 実行のために。 |
| Export_Domain_Entity | Sentinelインシデントで、 実行のために。 |
| Export_IP_Entity | Sentinelインシデントで、 実行のために。 |
| Export_URL_Entity | Sentinelインシデントで、 実行のために。 |
| Incident_Enrichment | Sentinelインシデントで、 実行のために。 |