Wenn bestimmte Anwendungen und Integrationen eingerichtet sind, einschließlich Threat Intelligence und der Palo Alto Networks – Firewall -Integration, können Informationen erkennbarer Elemente in einem Security Incident automatisch mit Bedrohungsprotokolldaten angereichert werden, wenn die Quell-IP für die zugehörigen erkennbaren Elemente geändert wird.

Wenn eine Änderung auftritt, initiiert eine Geschäftsregel einen Workflow, der Daten aus Bedrohungsprotokollen in Ihrer Firewall abruft und die Informationen der erkennbaren Elemente im Security Incident anreichert.

Nachdem dieses Setup abgeschlossen wurde, bewirkt die Änderung der Quell-IP von erkennbaren Elementen, die einem Security Incident zugeordnet sind, dass eine Geschäftsregel den Workflow „ Security Operations Palo Alto Networks – Protokolldaten abrufen “ ausführt. Workflow-Aktivitäten stellen eine Suchabfrage an der Firewall in die Warteschlange und geben eine Auftrags-ID zurück, die verwendet wird, um Bedrohungsprotokolldaten von der Firewall abzurufen und sie als XML-Datei an den Security Incident anzuhängen.