Workflow zum Anreichern von AutoFocus-Sitzungsinformationen abrufen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Wenn der Workflow „Security Operations Palo Alto Networks – AutoFocus-Sitzungsanreicherung abrufen“ ausgeführt wird, wird eine Suchabfrage mit AutoFocus in die Warteschlange gestellt, um Informationen zu einer angegebenen Quell-IP zu sammeln. Wenn AutoFocus Wissen über vorherige Sitzungen hat, die von dieser IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow „Security Operations Palo Alto Networks - AutoFocus-Sitzungsanreicherung abrufen“ wird ausgeführt, wenn das Feld Quell-IP in einem Security Incident geändert und der Datensatz aktualisiert wird. Der Workflow ruft die IP-Adresse ab und sendet eine Abfrageanforderung an AutoFocus. Wenn AutoFocus zuvor Sitzungen identifiziert hat, die von der IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.
    Abbildung : 1. Security Operations Palo Alto Networks – Wildfire-Datenanreicherungs-Workflow abrufen
    AutoFocus-Workflow

    Prozedur

    1. Navigieren zu Alle > Security Incident > Offene Incidents anzeigen.
    2. Klicken Sie auf die Registerkarte Kompromittierungsindikatoren und füllen Sie das Feld Quell-IP aus.
    3. Klicken Sie auf Aktualisieren.
      AutoFocus scannt die Informationen von der IP-Adresse, und eine Textdatei im JSON-Format wird an den Security Incident angehängt.

      Spezifische Aktivitäten für diese Integration werden hier beschrieben. Weitere Informationen zu anderen Aktivitäten finden Sie unter Allgemeine Integrations-Workflow-Aktivitäten.

    AutoFocus-Suchsitzungsaktivität

    Mit der Workflow-Aktivität AutoFocus -Suchsitzung werden Informationen von einer IP-Adresse, die einem Security Incident zugewiesen ist, in AutoFocus hochgeladen und für eine Suchabfrage in die Warteschlange gestellt.

    Eingabevariablen

    Hinweis:

    Wenn die Aktivität ausgeführt wird, wird eine Suchabfrage mit AutoFocus zum Sammeln von Informationen für eine angegebene Quell-IP in die Warteschlange gestellt. Wenn AutoFocus zuvor Sitzungen identifiziert hat, die von dieser IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    searchSessionQuery [Zeichenfolge] Die Suchabfrage nach Sitzungsinformationen.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    requestStatus [Boolean] „True“, wenn eine Suchabfrage für die Ausführung in AutoFocus geplant wurde.
    Fehler [Zeichenfolge] Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden.
    afcookie [Zeichenfolge] Ein Bezeichner für die AutoFocus-Suchabfrage, die von Aktivität „Suchergebnisse abrufen“. zum Abrufen der Suchergebnisse verwendet wird.

    Aktivität „Suchergebnisse abrufen“.

    Die Workflow-Aktivität „ Suchergebnisse abrufen“ ruft Suchergebnisse ab, die durch ein Cookie für die Suchabfrage identifiziert wurden, die von der Aktivität „AutoFocus -Suchsitzung“ initiiert wurde.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 3. Eingabevariablen
    Variable Beschreibung
    afcookie [Zeichenfolge] Das AutoFocus-Cookie für die von AutoFocus-Suchsitzungsaktivitätgenerierte Suchanforderung.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 4. Ausgabevariablen
    Variable Beschreibung
    searchPending [Boolean] „True“, wenn die Suchanforderung noch in AutoFocus verarbeitet wird.
    Ergebnis [Zeichenfolge] Die Suchergebnisdaten.
    Status [Boolean] „True“, wenn die Suche abgeschlossen ist und die Ergebnisse erfolgreich generiert wurden.
    Fehler [Zeichenfolge] Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden.

    Schreiben Sie Inhalte, die als Anhangsaktivität aufgezeichnet werden sollen

    Diese Aktivität schreibt den aus einer Eingabe übergebenen Inhalt und erstellt einen bestimmten Anhang zu einem bestimmten Datensatz.

    Die Aktivität Inhalt in Datensatz als Anhang schreiben kann mit jedem Workflow verwendet werden, um Inhalte zu schreiben und an einen Datensatz anzuhängen.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 5. Eingabevariablen
    Variable Beschreibung
    Tabellenname [Zeichenfolge] Der Tabellenname für den Datensatz. Dieses Eingabefeld ist ein Pflichtfeld.
    sysid [Zeichenfolge] Der Systembezeichner (sys_id) eines Aufgabendatensatzes. Dieses Eingabefeld ist ein Pflichtfeld.
    Nutzlast Der Nur-Text-Inhalt, der als Anhang geschrieben werden soll. Dieses Eingabefeld ist ein Pflichtfeld.
    filename Name der Anhangdatei.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 6. Ausgabevariablen
    Variable Beschreibung
    Ergebnis [Zeichenfolge] Gibt an, ob die Aktualisierung erfolgreich war.