創立自動化工作流程(Automation Playbooks) - antqtech/KM GitHub Wiki

以下是使用FortiSOAR的Playbook Designer創建自動化Playbook Collection 的步驟,目的是自動查詢FortiGuard對特定網域或URL的聲譽進行分類,並更新至FortiSOAR中的指標(Indicator)。

步驟:

  1. 進入【Playbooks】模組:點選左側選單【Playbooks】。
  2. 創建新Collection: 點擊【+ New Collection】以創建一個新的Playbook Collection。 *Playbook Collection:用於存儲和組織Playbooks的文件夾。
  3. 輸入基本信息: 名稱:輸入 00 - FastTrack (開頭的“00”有助於此 Collection 在列表中置頂顯示)。 描述:輸入 This is a collection of playbooks created during FortiSOAR FastTrack training。 圖片和標籤:使用默認值。

image

  1. 創建Collection: 點擊【Create】以完成創建。

  2. 點擊【+ Add Playbook】來開啟 Playbook Designer,並開始在新建立的Collection中製作第一個流程。*在建立作流程時,需要為其命名,填寫詳細並添加標籤。這些信息能夠幫助FortiSOAR的其他使用者快速了解工作流程的用途和功能。

  3. 填寫以下欄為信息: 名稱:Auto-Enrich Indicator with FortiGuard 描述:可使用自訂描述或以下內容 示例描述:此工作流程將在建立 Domain 或 URL 指標時自動執行,並查詢 FortiGuard 以獲取觸發此工作流程的指標的可信度分類。 啟用:勾選「Active」來啟用(使用預設值) 標籤:輸入以下標籤,並在每個標籤後按 Enter

  • on-create
  • indicators
  • enrichment 7.點擊「Create」以啟動 Playbook Designer

建立觸擊條件

背景: 在Playbook Designer中,可以以流程圖的方式購建工作流程。 每個步驟連接到其他步驟,執行動或根據邏輯條件做出決策。每個步驟可以存取所有先前步驟的輸入和結果。

操作步驟(*此為示範,可依據實際需求調整):

  1. 觸發步驟: 每個工作流程的第一步都是「觸發步驟」,決定了觸發工作流程執行的事件類型。**

image

  1. 選擇【On Create】選項 選擇這個選項允許在建立[Domain]或[URL指標]時啟動FortiGuard查詢,從而觸發此工作流程。

  2. 設定Resource模組: 在【Resource】下拉選單中選擇【Indicators】 此流程需要在[Domain]或[URL指標]被建立時觸發。

  3. 設置觸發條件: 將條件選項從「ALL OF THE BELOW ARE TRUE (AND)」更改為「ANY OF THE BELOW IS TRUE (OR)」。

  4. 新增條件: 點擊【+Add Condition】。

  5. 設置條件細節:

  • 點擊【Select a Field】並選擇【Type】。
  • 接著在下方的下拉選單【Domain】作為條件之一。

image

  1. 再次新增條件:
  • 點擊【+Add Condition】再次新增條件。
  • 重複前述步驟,將下拉選項設置為「Type Equals URL」,條件區塊應該看起來像這樣:

image

  1. 儲存觸發設定: 在左下角點擊【Save】儲存設置。

建立動作

**背景:**接下來需要給這個工作流程一個具體的動作指令,以進行FortiGuard查詢來獲取Domain或URL的相關資訊。為此我們將使用[Connector步驟]。

操作步驟

  1. 建立下一步: 點擊並拖曳觸發步驟右側的藍色箭頭,向右建立下一步驟。

  2. 選擇連接器:

  • 放開滑鼠按鍵後,從左側的選單點選【Connector】來執行操作。

image

  1. 選擇 Fortinet Web Filter Lookup:
    • 在新的選單列表中點擊「Fortinet Web Filter Lookup v1.0.0 Connector 」,以開啟 Fortinet Web Filter Lookup 連接器。

image

  • 注意事項: 在接下來步驟輸入名稱時,請不要按下Enter,因為這將自動選取配置欄位中的{}按鈕並改變輸入模式。如果發生這種情況,請再次點擊{}按鈕,然後下拉選單中選擇【FortiGuard】。
  1. 命名步驟: 滾動到連接器小工具頂端,輸入步驟名稱為【Query FortiGuard】。
  2. 添加描述: 點擊【+Add Step Description】,可以自行輸入描述內容。 在生產環境中,描述可以是這樣的:「此步驟會將新創建的指標值發送至 FortiGuard 查詢。」這裡的描述便於其他人了解工作流程的意圖。
  3. 設置提交欄位:
  • 在【Submit Domain/URL】的文字框中點擊一下,這將彈出動態值選單。

image

  • 由於這個工作流程在新創建指標時執行,因此該指標會做為工作流程的輸入資料。
  1. 選擇指標輸入欄位:
  • 點擊【Input】旁邊的箭頭。
  • 您會看到一個新的欄位列表,這些是指標可能會包含的數據元素,對於各種用途都很有用。
  • 目標是查詢FortiGuard指標的值。
  1. 選擇【Value】欄位:
  • 從欄位列表中點擊【Value】。

image

  • FortiSOAR將自動填入Submit Doamin/URL欄位並使用正確變數。這裡的變數語言稱為jinja2,是Python的模板語言,可以輕鬆處理FortiSOAR工作流程使用的JSON格式數據。

image

  • 進階用戶可以將jinja2與Python結合使用,來建立複雜的工作流程以處理高階任務。
  1. 儲存步驟:
  • 在左下角點擊「Save」以儲存此步驟。
  1. 儲存整個工作流程:
  • 點擊螢幕右上角的【Save Playbook】來儲存整個工作流程。

更新指標的信譽

背景: 當工作流程執行時,Query FortiGuard步驟會查詢FortiGuard信譽服務並接收結果。接下來我們將使用這些結果,並將這些FortiGuard查詢結果的信譽資訊新增到觸發此工作流程的指標[描述]欄位中。

操作步驟:

  1. 建立新步驟:
  • 從 Query FortiGuard 步驟周圍的箭頭處拖曳,建立一個新的工作流程步驟。
  1. 選擇更新紀錄:
  • 從清單頂端的【Core】中點選【Update Record】選項。

image

  1. 命名步驟:
  • 在Step Name欄位中輸入[Update Indicator with Reputation]。
  1. 選擇模型:
  • 點選【Model】下拉選單並選擇Indicators。
  • 選擇後,小工具會出現一些新欄位。
  1. 設定紀錄IRI:
  • 在【Record IRI】欄位內點擊,選擇 【@id】 選項。
  • 【@id】 元素代表紀錄的唯一識別碼(IRI),在這裡它代表要更新的指標紀錄。

image

  1. 描述欄位: 向下滾動到Description欄位,並輸入【Category:】。

  2. 插入動態值: 點擊上方的{}按鈕以打開動態值選單。

image

  1. 選擇步驟結果:
  • 收起【Input】下拉選單,展開【Step Results】下拉選單。
  • 【Step Results】中包含目前工作流程執行的每個步驟的結果。在這裡會顯示Query FortiGuard步驟的結果。
  1. 選擇類別:
  • 展開【 Query FortiGuard】 選單,然後再展開 【data】 欄位。
  • 從清單中點選【category】。此時,Description欄位將自動填入jinja2語法來表示category欄位。

image

  1. 段落分隔:
  • 按兩次 Enter 鍵,使之前輸入的內容之後分成新行。
  1. 輸入Info:
  • 在Description欄位中輸入[Info:]。

image

  1. 再次插入動態值: 再次點擊 {} 按鈕打開動態變數選單。

  2. 選擇Info 欄位:

  • 在【Step Results】=> 【 Query FortiGuard】=> 【data】中,選擇【info】。

image

  1. 儲存步驟:
  • 點選左下角的【Save】 按鈕儲存此步驟。
  1. 儲存整個工作流程:
  • 點選螢幕右上角的【 Save Playbook】 按鈕儲存整個工作流程。

image