Obtenir le flux d’enrichissement des informations sur la session AutoFocus

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Lorsque le flux Security Operations Palo Alto Networks - Obtenir l’enrichissement des informations de session AutoFocus est exécuté, il met en file d’attente une requête de recherche avec AutoFocus pour collecter des informations sur une adresse IP source spécifiée. Si AutoFocus a connaissance des sessions précédentes provenant de cette adresse IP, un rapport au format JSON est renvoyé.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Le flux d’enrichissement des informations sur la session Security Operations Palo Alto Networks - Get AutoFocus est exécuté lorsque le champ IP source d’un incident de sécurité est modifié et que l’enregistrement est mis à jour. Le flux récupère l’adresse IP et envoie une requête à AutoFocus. Si AutoFocus a précédemment identifié des sessions provenant de l’adresse IP, un rapport au format JSON est renvoyé.
    Figure 1. Opérations de sécurité Palo Alto Networks : obtenir le flux d’enrichissement des données WildFire
    Obtenir le flux de session AutoFocus

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents ouverts.
    2. Cliquez sur l’onglet Indicateurs de compromission et renseignez le champ Adresse IP source .
    3. Cliquez sur Mettre à jour.
      AutoFocus analyse les informations à partir de l’adresse IP et un fichier texte au format JSON est joint à l’incident de sécurité.

      Les actions spécifiques à cette intégration sont décrites ici. Pour en savoir plus sur les autres actions, reportez-vous à la section Flux d’intégration et activités d’orchestration communs de Security Operations.

    Action de session de recherche de mise au point automatique

    L’action de flux de session de recherche AutoFocus télécharge les informations d’une adresse IP affectée à un incident de sécurité vers AutoFocus et les met en file d’attente pour une requête de recherche.

    Variables d'entrée

    Remarque :

    Lorsque l’action s’exécute, elle met en file d’attente une requête de recherche avec AutoFocus afin de collecter des informations pour une adresse IP source spécifiée. Si AutoFocus a précédemment identifié des sessions provenant de cette adresse IP, un rapport au format JSON est renvoyé.

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 1. Variables d'entrée
    Variable Description
    searchSessionQuery [chaîne] Requête de recherche d’informations sur la session.

    Action Extraire les résultats de recherche

    L’action de flux Extraire les résultats de recherche récupère les résultats de recherche identifiés par un cookie à la requête de recherche initiée par l’action de session de recherche Autofocus .

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 2. Variables d'entrée
    Variable Description
    afcookie [chaîne] Le cookie AutoFocus pour la demande de recherche générée par le Action de session de recherche de mise au point automatique.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures.

    Tableau 3. Variables de sortie
    Variable Description
    searchPending [booléen] Vrai si la demande de recherche est toujours en cours de traitement dans AutoFocus.
    résultat [chaîne] Données des résultats de la recherche.
    état [booléen] Vrai si la recherche est terminée et que les résultats ont été générés avec succès.
    erreur [chaîne] Erreur, le cas échéant, qui s’est produite dans l’action.