Workflow zur Anreicherung von AutoFocus-Sitzungsinformationen abrufen

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

2 Minuten Lesedauer

Wenn der Workflow „Security Operations Palo Alto Networks – AutoFocus-Sitzungsinformationsanreicherung abrufen“ ausgeführt wird, wird eine Suchabfrage bei AutoFocus in die Warteschlange gestellt, um Informationen zu einer angegebenen Quell-IP zu sammeln. Wenn AutoFocus Kenntnisse über vorherige Sitzungen hat, die von dieser IP-Adresse stammen, wird ein Bericht im JSON-Format zurückgegeben.

Vorbereitungen

Erforderliche Rolle: sn_si.analyst

Warum und wann dieser Vorgang ausgeführt wird

Der Workflow „Security Operations Palo Alto Networks – AutoFocus-Sitzungsinformationsanreicherung abrufen“ wird ausgeführt, wenn das Feld Quell-IP in einem Security Incident geändert und der Datensatz aktualisiert wird. Der Workflow ruft die IP-Adresse ab und sendet eine Abfrageanforderung an AutoFocus. Wenn AutoFocus zuvor Sitzungen identifiziert hat, die von der IP-Adresse stammen, wird ein Bericht im JSON-Format zurückgegeben.

AutoFocus-Workflow — Abbildung : 1. Security Operations Palo Alto Networks – WildFire-Datenanreicherungs-Workflow abrufen

Prozedur

Navigieren zu Alle > Security Incident > Offene Incidents anzeigenan.
Klicken Sie auf die Registerkarte Indicators of Compromise (Indikatoren der Gefährdung), und füllen Sie das Feld Quell-IP aus.
Klicken Sie auf Aktualisieren.
AutoFocus scannt die Informationen aus der IP-Adresse, und an den Security Incident wird eine Textdatei im JSON-Format angehängt.
Spezifische Aktivitäten für diese Integration werden hier beschrieben. Weitere Informationen zu anderen Aktivitäten finden Sie unter Workflows bei der Integration von Common Security Operations und Orchestration-Aktivitäten.

Aktivität „AutoFocus-Suchsitzung“.

Die Workflow-Aktivität „AutoFocus -Suchsitzung“ lädt Informationen von einer IP-Adresse, die einem Security Incident zugewiesen ist, zu AutoFocus und stellt sie für eine Suchabfrage in die Warteschlange.

Eingabevariablen

Hinweis:

Wenn die Aktivität ausgeführt wird, wird eine Suchabfrage mit AutoFocus in die Warteschlange gestellt, um Informationen für eine angegebene Quell-IP zu sammeln. Wenn AutoFocus zuvor Sitzungen identifiziert hat, die von dieser IP-Adresse stammen, wird ein Bericht im JSON-Format zurückgegeben.

Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

Tabelle : 1. Eingabevariablen
Variable	Beschreibung
searchSessionQuery [Zeichenfolge]	Die Suchabfrage für Sitzungsinformationen.

Ausgabevariablen

Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

Tabelle : 2. Ausgabevariablen
Variable	Beschreibung
requestStatus [Boolean]	„Wahr“, wenn eine Suchabfrage zur Ausführung in AutoFocus geplant war.
Fehler [Zeichenfolge]	Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden.
afcookie [Zeichenfolge]	Ein Bezeichner für die AutoFocus-Suchabfrage, die von Aktivität „Suchergebnisse abrufen“. zum Abrufen der Suchergebnisse verwendet wird.

Aktivität „Suchergebnisse abrufen“.

Die Workflow-Aktivität „ Suchergebnisse abrufen“ ruft Suchergebnisse ab, die durch ein Cookie für die Suchabfrage identifiziert werden, die von der Aktivität „AutoFocus -Suchsitzung“ initiiert wurde.

Eingabevariablen

Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

Tabelle : 3. Eingabevariablen
Variable	Beschreibung
afcookie [Zeichenfolge]	Das AutoFocus-Cookie für die von Aktivität „AutoFocus-Suchsitzung“.generierte Suchanforderung.

Ausgabevariablen

Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

Tabelle : 4. Ausgabevariablen
Variable	Beschreibung
searchPending [Boolesch]	„Wahr“, wenn die Suchanforderung noch in AutoFocus verarbeitet wird.
Ergebnis [Zeichenfolge]	Die Suchergebnisdaten.
status [Boolesch]	„Wahr“, wenn die Suche abgeschlossen ist und Ergebnisse erfolgreich generiert wurden.
Fehler [Zeichenfolge]	Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden.