Wenn bestimmte Anwendungen und Integrationen eingerichtet werden, einschließlich Threat Intelligence und der Palo Alto Networks – Firewall -Integration, können Informationen zu erkennbaren Elementen in einem Security Incident automatisch mit Bedrohungsprotokolldaten angereichert werden, wenn die Quell-IP für die erkennbaren Elemente geändert wird.

Wenn eine Änderung erfolgt, initiiert eine Geschäftsregel einen Workflow, der Daten aus Bedrohungsprotokollen auf Ihrer Firewall abruft und die Informationen zu erkennbaren Elementen im Security Incident anreichert.

Nach Abschluss dieses Setups führt die Änderung der Quell-IP von erkennbaren Elementen, die einem Security Incident zugeordnet sind, dazu, dass eine Geschäftsregel den Workflow „ Security Operations Palo Alto Networks – Protokolldaten abrufen “ ausführt. Workflow-Aktivitäten stellen eine Suchabfrage auf der Firewall in die Warteschlange und geben eine Auftrags-ID zurück, die verwendet wird, um Bedrohungsprotokolldaten von der Firewall abzurufen und als XML-Datei an den Security Incident anzuhängen.