管理全局工件

全局工件允许您从现有的工作流中利用数据或创建可以在多个工作流中重复使用的数据,从而提高组织的效率。您可以从全局工件页面管理您的全局工件,您可以在其中创建或删除全局工件,并将条目添加到全局工件。

要使用全局工件:

  1. 设置全局工件
  2. 维护全局工件

用例例子

全局工件使您可以维护您的工作流程可以参考的集中数据库,减少分析事件所需的时间,并为您提供更好的可见性进入事件的真实范围。

在一个集中位置维护和更新参考数据

您可以使用全局构件来存储可由多个工作流引用的关键指标列表,例如恶意URL、受信任的IP地址或用户配置文件信息。

维护受信任信息的中央存储库

使用全局工件,您可以维护一个可信信息列表(如IP地址、电子邮件地址或域名),任何对这些标识符执行检查的工作流都可以引用该列表。您可以从全局工件中添加或删除IP地址,并且它会在所有工作流中自动更新。

维护封锁的信息列表

您可以在警报进入时,维护一个被阻止的信息(例如,恶意URL)的封锁信息列表。通过减少分析警报的时间,可以帮助提高团队的中央存储库可以帮助提高团队的效率从相同的源生成。如果警报从未在封锁列表上的源进入,则可以将工作流配置为自动将其添加到全局工件中。

存储高调用户的列表

您可以使用全局工件的另一种方式是维护组织的高调用户列表。例如,您可以创建一个高调的用户全局工件,该工件存储组织中的高管的电子邮件地址,并配置工作流程,以查找在该全局工件中列出的用户,每次触发警报时都会列出。在这种情况下,全局工件可以帮助您更快地识别当高调帐户受到损害,提高整体响应时间并降低组织数据的潜在损坏时。

减少分析时间并理解事件的范围

在响应某些类型的事件时,您可能会发现,当单个标识符生成多个警报时,您的安全团队正在执行冗余且耗时的充实任务。

您可以使用全局工件来提高团队响应时间的效率,并更好地了解事件的真实范围。例如,您有一个网络钓鱼工作流,该工作流在每次收到网络钓鱼电子邮件时创建一个新的Jira票证。如果使用全局工件存储指标列表,则在触发新的网络钓鱼警报时,您的工作流可以确定新电子邮件是否与存储的指标匹配。如果您收到1000份钓鱼企图报告,一个全局工件可以帮助您快速确定所有这些电子邮件是否来自同一来源。如果工作流返回匹配项,则可以跳过扩展分析并将重点放在修正上。

设置全球文物

作为设置全局工件的过程的一部分,您必须首先创建全局工件,然后添加工作流的条目以引用。

任务1:创建一个全球文物

要创建全局工件,请为要添加到全局工件的数据类型配置模式,并提供易于识别的名称和描述。所有全局工件都是数组类型。

  1. 从左侧菜单中,选择设置,并选择全球文物标签。
  2. 点击添加全局工件。您将看到创建全局工件向导出现。
  3. 在“配置模式”页面上,配置模式以构建您正在添加到全局工件的数据类型。
  1. 选择数组类型您想使用来配置全局工件架构。您的选择在这里定义了您可以添加到全局工件的数据的格式。创建全局工件后,您无法编辑模式。
  2. 点击下一个
  1. 在“配置详细信息”页面上,执行以下操作:
  1. 为全局工件提供唯一的名称和描述。在助手步骤中使用查找操作时,名称将可供选择。
  2. 选择要与您的工件关联的标签。
  1. 点击创造

恭喜!您现在可以向您的全球工件添加条目。

任务2:手动添加一个全局工件的条目

创建全局工件后,您可以添加用于参考工作流的条目。例如,您可以添加每个恶意URL是单个条目的恶意URL。您可以添加尽可能多的条目,如您想要的全局工件,但工作流只能引用1,000个最新的条目。

自动添加条目

您可以使用帮助程序将您的工作流程配置为自动添加条目运行时的全局工件。

添加条目:

  1. 转到要添加条目的全局工件。
  2. 执行以下操作之一:
  • 如果您的全球工件没有现有条目,请单击添加条目
  • 如果要添加到您的条目列表中,请单击+
  1. 在“添加值”字段中,输入与该条目关联的值。如果此全局工件存储恶意URL,则会输入URL。例如,“badurl.com”。您可以输入的值取决于您选择的数组类型创建了一个全球文物
  2. 要为全局工件添加其他条目,请单击添加全局工件项

全球工件进入限制

工作流仅引用最近的1000个条目。如果在全局工件中有1001个条目,则可以删除条目使工作流程的最后一个条目。

  1. 单击保存。现在,您的全局工件至少有一个条目,可以添加到工作流程

维护您的全球文物

您可以从“全局工件”页面编辑全局工件详细信息或更新全局工件条目。您还可以根据需要删除全局工件或从全局工件中删除条目。

编辑全球文物

您可以更新全局工件的名称和描述,并从全局工件中添加或删除标记。全局工件的架构不可编辑。如果全局工件的模式不支持要添加的数据结构,创建一个新的全球工件并定义一个新的架构。

编辑全局工件:

  1. 设置
  2. 选择全球文物
  3. 找到要更新的全局工件,然后通过单击“全局工件名称”旁边的三个点来展开菜单。选择看法,然后点击编辑详细信息在右上角。细节部分将扩展。
  4. 更新名称,描述或标记,然后单击拯救

删除全局工件条目

您可以删除不再需要的全局工件条目。删除条目将其后面的所有其他条目移动到单个值。例如,如果从全局工件中删除条目1,000,则项目1,001变为1,000,然后可以通过工作流引用。

自动删除条目

您可以使用帮助程序将您的工作流程配置为自动删除条目当全局工件运行时,从全局工件。

删除条目:

  1. 设置并选择全球文物
  2. 打开要更新的全局工件。
  3. 选择要删除的条目,然后单击垃圾箱图标

删除全局工件

在删除全局工件之前,请确保它未被任何活动工作流引用。

取消全局工件的链接

要取消全局工件与工作流的链接,只需打开辅助步骤与该全局工件相关联,然后选择不同的全局工件。

要删除全局工件,请执行以下操作:

  1. 设置并选择全球文物
  2. 找到要删除的全局工件,单击工件旁边的省略号,然后单击删除。您的全球工件被永久删除。