Ruft den Flow zur Ergänzung der AutoFocus-Sitzungsinformationen ab

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Wenn der Flow „Security Operations Palo Alto Networks – Anreicherung von AutoFocus-Sitzungsinformationen abrufen“ ausgeführt wird, wird eine Suchabfrage bei AutoFocus in die Warteschlange gestellt, um Informationen zu einer angegebenen Quell-IP zu sammeln. Wenn AutoFocus Kenntnisse über vorherige Sitzungen hat, die von dieser IP-Adresse stammen, wird ein Bericht im JSON-Format zurückgegeben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Der Flow „Security Operations Palo Alto Networks – Anreicherung von AutoFocus-Sitzungsinformationen abrufen“ wird ausgeführt, wenn das Feld Quell-IP in einem Security Incident geändert und der Datensatz aktualisiert wird. Der Flow ruft die IP-Adresse ab und sendet eine Abfrageanforderung an AutoFocus. Wenn AutoFocus zuvor Sitzungen identifiziert hat, die von der IP-Adresse stammen, wird ein Bericht im JSON-Format zurückgegeben.
    Abbildung : 1. Security Operations Palo Alto Networks – WildFire-Datenanreicherungs-Flow abrufen
    AutoFocus-Sitzungs-Flow abrufen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Offene Incidents anzeigen.
    2. Klicken Sie auf die Registerkarte Indicators of Compromise (Indikatoren der Gefährdung), und füllen Sie das Feld Quell-IP aus.
    3. Klicken Sie auf Aktualisieren.
      AutoFocus scannt die Informationen aus der IP-Adresse, und an den Security Incident wird eine Textdatei im JSON-Format angehängt.

      Spezifische Aktionen für diese Integration werden hier beschrieben. Weitere Informationen zu anderen Aktionen finden Sie unter Integrations-Flows und Orchestration-Aktivitäten von Common Security Operations.

    Aktion „AutoFocus-Suchsitzung“.

    Die Flow-Aktion AutoFocus-Suchsitzung lädt Informationen von einer IP-Adresse, die einem Security Incident zugewiesen ist, zu AutoFocus und stellt sie für eine Suchabfrage in die Warteschlange.

    Eingabevariablen

    Hinweis:

    Wenn die Aktion ausgeführt wird, wird eine Suchabfrage mit AutoFocus in die Warteschlange gestellt, um Informationen für eine angegebene Quell-IP zu sammeln. Wenn AutoFocus zuvor Sitzungen identifiziert hat, die von dieser IP-Adresse stammen, wird ein Bericht im JSON-Format zurückgegeben.

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    searchSessionQuery [Zeichenfolge] Die Suchabfrage für Sitzungsinformationen.

    Aktion „Suchergebnisse abrufen“.

    Die Flow-Aktion Suchergebnisse abrufen ruft Suchergebnisse ab, die durch ein Cookie für die Suchabfrage identifiziert wurden, die von der Aktion AutoFocus-Suchsitzung initiiert wurde.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 2. Eingabevariablen
    Variable Beschreibung
    afcookie [Zeichenfolge] Das AutoFocus-Cookie für die von Aktion „AutoFocus-Suchsitzung“.generierte Suchanforderung.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können.

    Tabelle : 3. Ausgabevariablen
    Variable Beschreibung
    searchPending [Boolean] „Wahr“, wenn die Suchanforderung noch in AutoFocus verarbeitet wird.
    Ergebnis [Zeichenfolge] Die Suchergebnisdaten.
    status [Boolesch] „Wahr“, wenn die Suche abgeschlossen ist und Ergebnisse erfolgreich generiert wurden.
    Fehler [Zeichenfolge] Der Fehler, der in der Aktion aufgetreten ist, falls vorhanden.