Pipelines

Ajout d’un pipeline

Dans le menu System:

• Sélectionnez « Pipelines »

  

• Puis « Manage pipelines » à droite

  

• Sélectionnez « Add new pipeline »

Remplissez les champs du formulaire :

• Title : Sekoia CTI Pipeline

• Description : Pipeline SEKOIA CTI

• Sélectionnez « Edit connexions »

• Choisissez votre « stream » de logs

• Sélectionnez « Manage rules » en haut, à droite

  

• Cliquez sur « Create Rule »

Remplissez les champs du formulaire :

• Description : SEKOIA CTI Rule

• Ajout d’une Rule source :

  Avertissement

  Les champs dépendent de votre configuration. Le champ « dst_ip » est à modifier suivant le nom que vous avez attribué a l’information « ip destination » dans votre « stream » de logs

• Rule source

  rule "Sekoia lookup"
  when has_field("dst_ip")
  then
  let DstIP = to_string($message.dst_ip);
  let indicatorType = lookup_value("sekoia-cti-lookup", DstIP);
  set_field("indicator_type", indicatorType);
  end
  

• Cliquez sur « Apply » puis « Save & Close »

• Retournez sur « Manage pipelines »

  

• Editez (edit) votre Pipeline Sekoia CTI Pipeline

• Editez le « Stage 0 »

  

• Ajoutez à « Stage Rules » votre « Rule » Sekoia lookup