Rufen Sie den WildFire-Datenanreicherungs-Flow ab

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Wenn der Flow „ Security Operations Palo Alto Networks – WildFire-Datenanreicherung abrufen“ ausgeführt wird, wird eine Hash-Datei in WildFire hochgeladen. Die Daten werden angereichert, und Berichte werden in die Instanz heruntergeladen, um die Verarbeitung potenzieller Malware-Angriffe zu unterstützen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Der Flow „Security Operations Palo Alto Networks – WildFire-Datenanreicherung abrufen“ wird ausgeführt, wenn ein Security Incident aus einer Warnung erstellt wird, die von der Anwendung Palo Alto Network Firewall empfangen wurde. Auf der Registerkarte „IoC“ des Security Incident wird ein Malware-Hash aus der E-Mail-Benachrichtigung eingegeben, die von der Firewall empfangen wurde, und der Datensatz wird aktualisiert.
    Abbildung : 1. Security Operations Palo Alto Networks – WildFire-Datenanreicherungs-Flow abrufen
    WildFire-Flow zur Datenanreicherung

    Prozedur

    1. Navigieren zu Alle > Security Incident > Offene Incidents anzeigen.
    2. Suchen und öffnen Sie den erstellten Security Incident anhand der E-Mail-Benachrichtigung, die Sie von der Firewall erhalten haben.
    3. Klicken Sie auf die Registerkarte Kompromittierungsindikatoren, und füllen Sie den Malware-Hash mit dem Hash aus, den Sie in der Warnung erhalten haben.
    4. Klicken Sie auf Aktualisieren.
      Der Flow bewirkt, dass die Hash-Datei in WildFire hochgeladen wird, wo die Daten angereichert werden. Berichte im PDF- und XML-Format werden an den Datensatz (Security Incident oder IoC) in Ihrer -Instanz angehängt, um die Verarbeitung potenzieller Malware-Angriffe zu unterstützen.
      Hinweis:
      Wenn die angereicherten Daten Paketerfassungsinformationen enthalten, werden auch PCAP-Informationen heruntergeladen. PCAP-Daten erfassen, welche Aktionen die Datei ausgeführt hat. Beispielsweise kann gemeldet werden, welche Server die Datei kontaktiert hat. Zum Anzeigen von PCAP-Dateien benötigen Sie einen Paketanalysierer, z. B. Wireshark.
      Abbildung : 2. Beispiel für eine von WildFire generierte PDF-Datei
      PDF-Beispielbericht

    WildFire: PCAP-Aktion abrufen

    Die Flow-Aktion WildFire: Get PCAP ruft die Paketerfassungsinformationen (PCAP) ab, die während der Analyse eines angegebenen Datei-Hashs in WildFire generiert wurden. Das Ergebnis dieser Aktion wird an einen bestimmten Datensatz angehängt, der durch TableName und RecordIdidentifiziert wird.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    DateiSHA256Hash [Zeichenfolge] Der Hash der Datei, der von der Palo Alto Network Firewall-Anwendung empfangen wurde.
    Tabellenname [Zeichenfolge] Die betroffene Tabelle.
    RecordId [Zeichenfolge] Der Security Incident oder IoC, der aktualisiert wird.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    kommandierenStatus [Boolesch] „Wahr“, wenn ein Ergebnis abgerufen und erfolgreich angehängt wurde.
    errorMessage Der Fehler, der in der Aktion aufgetreten ist, falls vorhanden.

    WildFire: Aktion zum Abrufen des PDF-Berichts

    Mit der Flow-Aktion WildFire: Get PDF Report (WildFire: PDF-Bericht abrufen) wird der Bericht, der während der Analyse eines angegebenen Datei-Hashs in WildFire generiert wurde, im PDF-Format abgerufen. Das Ergebnis dieser Aktion wird an einen bestimmten Datensatz angehängt, der durch TableName und RecordIdidentifiziert wird.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 3. Eingabevariablen
    Variable Beschreibung
    Tabellenname [Zeichenfolge] Die betroffene Tabelle.
    DateiSHA256Hash [Zeichenfolge] Der Hash der Datei, der von der Palo Alto Network Firewall-Anwendung empfangen wurde.
    RecordId [Zeichenfolge] Der Security Incident oder IoC, der aktualisiert wird.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können.

    Tabelle : 4. Ausgabevariablen
    Variable Beschreibung
    kommandierenStatus [Boolesch] „Wahr“, wenn ein Ergebnis abgerufen und erfolgreich angehängt wurde.
    errorMessage Der Fehler, der in der Aktion aufgetreten ist, falls vorhanden.

    WildFire: Aktion zum Abrufen des XML-Berichts

    Mit der Flow-Aktion „WildFire: XML-Bericht abrufen“ wird der Bericht, der während der Analyse eines angegebenen Datei-Hashs in WildFire generiert wurde, im XML-Format abgerufen. Das Ergebnis dieser Aktion wird an einen bestimmten Datensatz angehängt, der durch TableName und RecordIdidentifiziert wird.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 5. Eingabevariablen
    Variable Beschreibung
    Tabellenname [Zeichenfolge] Die betroffene Tabelle.
    DateiSHA256Hash [Zeichenfolge] Der Hash der Datei, der von der Palo Alto Network Firewall-Anwendung empfangen wurde.
    RecordId [Zeichenfolge] Der Security Incident oder IoC, der aktualisiert wird.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können.

    Tabelle : 6. Ausgabevariablen
    Variable Beschreibung
    kommandierenStatus [Boolesch] „Wahr“, wenn ein Ergebnis abgerufen und erfolgreich angehängt wurde.
    errorMessage Der Fehler, der in der Aktion aufgetreten ist, falls vorhanden.