Obtenir le flux d’enrichissement des données WildFire

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Lorsque le flux Security Operations Palo Alto Networks - Get WildFire Data Enrichment est exécuté, un fichier de hachage est téléchargé dans WildFire. Les données sont enrichies et les rapports sont téléchargés vers l’instance pour faciliter le traitement des attaques potentielles de logiciels malveillants.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Le flux Security Operations Palo Alto Networks - Get WildFire Data Enrichment est exécuté lorsqu’un incident de sécurité est créé à partir d’une alerte reçue de l’application Palo Alto Network Firewall. Un hachage de programme malveillant à partir de la notification par e-mail reçue du pare-feu est saisi dans l’onglet IoC de l’incident de sécurité et l’enregistrement est mis à jour.
    Figure 1. Opérations de sécurité Palo Alto Networks : obtenir le flux d’enrichissement des données WildFire
    Flux d’enrichissement des données WildFire

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents ouverts.
    2. En fonction de la notification par e-mail reçue du pare-feu, localisez et ouvrez l’incident de sécurité qui a été créé.
    3. Cliquez sur l’onglet Indicateurs de compromission et renseignez le hachage du programme malveillant avec le hachage que vous avez reçu dans l’alerte.
    4. Cliquez sur Mettre à jour.
      Le flux entraîne le chargement du fichier de hachage dans WildFire où les données sont enrichies. Les rapports aux formats PDF et XML sont joints à l’enregistrement (incident de sécurité ou IoC) dans votre instance pour faciliter le traitement des attaques potentielles de logiciels malveillants.
      Remarque :
      Si les données enrichies incluent des informations de capture de paquets, les informations PCAP sont également téléchargées. Les données PCAP capturent les actions effectuées par le fichier. Par exemple, il peut signaler les serveurs sur lesquels le fichier était en contact. Pour afficher les fichiers PCAP, vous avez besoin d’un analyseur de paquets, tel que Wireshark.
      Figure 2. Exemple de PDF généré par Wildfire
      Exemple de rapport PDF

    WildFire : obtenir l’action PCAP

    L’action WildFire : obtenir le flux PCAP obtient les informations de capture de paquets (PCAP) générées lors de l’analyse d’un hachage de fichier spécifié sur WildFire. Le résultat de cette action est attaché à un enregistrement spécifique tel qu’identifié par le TableName et le RecordId.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 1. Variables d'entrée
    Variable Description
    FileSHA256Hash [chaîne] Hachage du fichier reçu de l’application Palo Alto Network Firewall.
    Nom de table [chaîne] La table affectée.
    ID d’enregistrement [chaîne] Incident de sécurité ou IoC en cours de mise à jour.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures.

    Tableau 2. Variables de sortie
    Variable Description
    commandStatus [booléen] Vrai si un résultat est obtenu et joint avec succès.
    errorMessage Erreur, le cas échéant, qui s’est produite dans l’action.

    WildFire : action de rapport d’obtention de PDF

    L’action de flux WildFire : obtenir un rapport PDF permet d’obtenir le rapport généré lors de l’analyse d’un hachage de fichier spécifié sur WildFire au format PDF. Le résultat de cette action est attaché à un enregistrement spécifique tel qu’identifié par le TableName et le RecordId.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 3. Variables d'entrée
    Variable Description
    Nom de table [chaîne] La table affectée.
    FileSHA256Hash [chaîne] Hachage du fichier reçu de l’application Palo Alto Network Firewall.
    ID d’enregistrement [chaîne] Incident de sécurité ou IoC en cours de mise à jour.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures.

    Tableau 4. Variables de sortie
    Variable Description
    commandStatus [booléen] Vrai si un résultat est obtenu et joint avec succès.
    errorMessage Erreur, le cas échéant, qui s’est produite dans l’action.

    WildFire : obtenir l’action de rapport XML

    L’action de flux WildFire : obtenir un rapport XML obtient le rapport généré lors de l’analyse d’un hachage de fichier spécifié sur WildFire au format XML. Le résultat de cette action est attaché à un enregistrement spécifique tel qu’identifié par le TableName et le RecordId.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 5. Variables d'entrée
    Variable Description
    Nom de table [chaîne] La table affectée.
    FileSHA256Hash [chaîne] Hachage du fichier reçu de l’application Palo Alto Network Firewall.
    ID d’enregistrement [chaîne] Incident de sécurité ou IoC en cours de mise à jour.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures.

    Tableau 6. Variables de sortie
    Variable Description
    commandStatus [booléen] Vrai si un résultat est obtenu et joint avec succès.
    errorMessage Erreur, le cas échéant, qui s’est produite dans l’action.