管理全球工件

全局工件允许您利用来自现有工作流的数据,或者创建可以在多个工作流中重用的数据,从而提高整个组织的效率。您可以从全局工件页面管理您的全局工件,在该页面中您可以创建或删除全局工件,并向全局工件添加条目。

要使用全局工件:

  1. 设置全局工件
  2. 维护全球工件

用例的例子

全局构件使您能够维护工作流可以引用的集中式数据存储库,减少分析事件所需的时间,并为您提供对事件真实范围的更好的可见性。

在一个集中的位置维护和更新参考数据

您可以使用全局构件来存储关键指标的列表,例如恶意url、可信IP地址或用户配置文件信息,这些指标可以被多个工作流引用。

维护受信任信息的中央存储库

使用全局工件,您可以维护单个可信信息列表(如IP地址、电子邮件地址或域名),任何对这些标识符执行检查的工作流都可以引用该列表。您可以从全局工件中添加或删除一个IP地址,它会在所有工作流中自动更新。

维护被屏蔽信息的列表

您可以维护一个被阻止的信息列表(例如,恶意url),当警报传入时,工作流可以引用这些信息。拥有一个被阻塞信息的中央存储库可以帮助您的团队提高效率,减少他们分析来自同一来源的警报所花费的时间。如果警报来自不在您阻止列表中的源,您可以配置您的工作流以自动将其添加到全局工件中。

高知名度用户的商店列表

使用全局工件的另一种方法是维护组织的高级用户列表。例如,您可以创建一个High Profile User全局工件,该工件存储组织中高管的电子邮件地址,并配置您的工作流,以便在每次触发警报时查找该全局工件中列出的用户。在这种情况下,全局工件可以帮助您更快速地识别一个重要的帐户何时被破坏,从而提高您的总体响应时间并减少对组织数据的潜在损害。

减少分析时间并了解事件的范围

在响应某些类型的事件时,您可能会发现,当一个标识符产生多个警报时,您的安全团队正在执行冗余且耗时的充实任务。

您可以使用全局工件来提高团队响应时间的效率,并更好地理解事件的真实范围。例如,您有一个钓鱼工作流,每次收到钓鱼邮件时都会创建一个新的Jira票据。如果您使用全局构件来存储指示器列表,那么当新的钓鱼警报被触发时,您的工作流可以确定新电子邮件是否与存储的指示器匹配。如果您收到1000份钓鱼尝试报告,一个全局工件可以帮助您快速确定所有这些电子邮件是否来自同一来源。如果工作流返回匹配,则可以跳过富集分析,而将重点放在补救上。

建立一个全局工件

作为设置全局工件的过程的一部分,您必须首先创建全局工件,然后为工作流添加要引用的条目。

任务1:创建一个全局工件

要创建您的全局工件,为您将添加到全局工件的数据类型配置模式,并提供易于识别的名称和描述。所有全局构件都是数组类型。

  1. 从左边的菜单中选择设置,并选择全球的工件选项卡。
  2. 点击增加全球工件.您将看到Create Global Artifact向导出现。
  3. 在“Configure Schema”页面上,配置模式以构造要添加到全局工件的数据类型。
  1. 选择数组类型您希望使用它来配置全局工件模式。这里的选择定义了可以添加到全局工件的数据的格式。一旦创建了全局工件,就不能编辑模式。
  2. 点击下一个
  1. 在“配置详情”页面,执行以下操作:
  1. 为全局工件提供唯一的名称和描述。当您在Helper步骤中使用Lookup操作时,可以选择该名称。
  2. 选择您想要与您的工件关联的标记。
  1. 点击创建

恭喜你!现在可以将条目添加到全局工件中。

任务2:手动向全局工件添加条目

一旦您创建了全局工件,您就可以为工作流添加要引用的条目。例如,您可以添加恶意URL,其中每个恶意URL是一个单独的条目。您可以向全局工件添加任意多的条目,但是工作流只能引用1000个最近的条目。

自动添加条目

您可以使用Helper步骤来配置工作流自动添加条目到全局工件运行时。

添加条目:

  1. 转到您想要添加条目的全局工件。
  2. 做以下其中之一:
  • 如果您的全局工件没有现有的条目,单击添加条目
  • 如果您想要添加到条目列表中,请单击+
  1. 在Add Value字段中,输入与条目关联的值。如果这个全局构件存储恶意URL,您将输入一个URL。例如,“badurl.com”。您可以输入的值取决于您选择的数组类型创建一个全局工件
  2. 要向全局工件添加额外的条目,请单击添加全局工件项目

全局工件入口限制

工作流只引用1000个最近的条目。如果在全局工件中有1001个条目,则可以删除一个条目使最后一个条目对工作流可见。

  1. 单击Save。现在您的全局工件至少有一个条目,它可以是添加到工作流中

维护您的全局工件

您可以编辑全局工件细节,或者从“全局工件”页面更新全局工件条目。您还可以根据需要删除全局工件或从全局工件中删除条目。

编辑一个全局工件

您可以更新全局工件的名称和描述,并从全局工件中添加或删除标记。全局工件的模式是不可编辑的。如果全局工件的模式不支持要添加的数据结构,创建一个新的全局工件并定义一个新的模式。

要编辑全局工件:

  1. 设置
  2. 选择全球的工件
  3. 找到您想要更新的全局工件,并通过单击全局工件名称旁边的三个点来展开菜单。选择视图,然后单击编辑详细信息在右上角。详细信息部分将展开。
  4. 更新名称、描述或标签,单击保存

删除一个全局工件条目

您可以删除不再需要的全局工件条目。删除一个条目会使它后面的所有其他条目向上移动一个值。例如,如果您从全局工件中删除条目1,000,条目1001就变成1,000,然后可以被工作流引用。

自动删除条目

您可以使用Helper步骤来配置工作流自动删除条目在全局工件运行时从它。

删除一个条目。

  1. 设置并选择全球的工件
  2. 打开您想要更新的全局工件。
  3. 选择要删除的条目,然后单击“垃圾桶”图标

删除全局工件

在删除全局工件之前,请确保它没有被任何活动工作流引用。

解除全局藏物的链接

要从工作流中断开全局工件的链接,只需打开助手一步与该全局工件关联,并选择一个不同的全局工件。

要删除全局工件:

  1. 设置并选择全球的工件
  2. 找到您想要删除的全局工件,单击工件旁边的省略号,然后单击删除.你的全局藏物被永久删除。