Obtenir le workflow d’enrichissement des données WildFire
Lorsque le workflow Security Operations Palo Alto Networks - Obtenir l’enrichissement des données WildFire est exécuté, un fichier de hachage est téléchargé dans WildFire. Les données sont enrichies et des rapports sont téléchargés sur l’instance pour faciliter le traitement des attaques potentielles de logiciels malveillants.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Procédure
-
Cliquez sur Mettre à jour.
Le workflow entraîne le téléchargement du fichier de hachage dans WildFire où les données sont enrichies. Les rapports aux formats PDF et XML sont joints à l’enregistrement (incident de sécurité ou IoC) dans votre instance pour faciliter le traitement des attaques potentielles de programmes malveillants.Remarque :Si les données enrichies comprennent des informations de capture de paquets, les informations PCAP sont également téléchargées. Les données PCAP capturent les actions exécutées par le fichier. Par exemple, il peut indiquer sur quels serveurs le fichier était en contact. Pour afficher les fichiers PCAP, vous avez besoin d’un analyseur de paquets, tel que Wireshark.
Figure 2. Exemple de PDF généré par Wildfire
WildFire : obtenir l’activité PCAP
L’activité de workflow WildFire : Get PCAP récupère les informations de capture de paquets (PCAP) générées lors de l’analyse d’un hachage de fichier spécifié sur WildFire. Le résultat de cette activité est joint à un enregistrement spécifique identifié par TableName et RecordId.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| FileSHA256Hash [chaîne] | Hachage du fichier reçu de l’application Palo Alto Network Firewall. |
| Nom de table [chaîne] | Table affectée. |
| RecordId [chaîne] | L’incident de sécurité ou l’IoC en cours de mise à jour. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| commandStatus [booléen] | Vrai si un résultat est obtenu et joint avec succès. |
| errorMessage | Erreur, le cas échéant, qui s’est produite dans l’activité. |
WildFire : obtenir l’activité du rapport PDF
L’activité de workflow WildFire : Get PDF Report permet d’obtenir le rapport généré lors de l’analyse d’un hachage de fichier spécifié sur WildFire au format PDF. Le résultat de cette activité est joint à un enregistrement spécifique identifié par TableName et RecordId.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| Nom de table [chaîne] | Table affectée. |
| FileSHA256Hash [chaîne] | Hachage du fichier reçu de l’application Palo Alto Network Firewall. |
| RecordId [chaîne] | L’incident de sécurité ou l’IoC en cours de mise à jour. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| commandStatus [booléen] | Vrai si un résultat est obtenu et joint avec succès. |
| errorMessage | Erreur, le cas échéant, qui s’est produite dans l’activité. |
WildFire : obtenir l’activité du rapport XML
L’activité de workflow WildFire : Get XML Report obtient le rapport généré lors de l’analyse d’un hachage de fichier spécifié sur WildFire au format XML. Le résultat de cette activité est joint à un enregistrement spécifique identifié par TableName et RecordId.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| Nom de table [chaîne] | Table affectée. |
| FileSHA256Hash [chaîne] | Hachage du fichier reçu de l’application Palo Alto Network Firewall. |
| RecordId [chaîne] | L’incident de sécurité ou l’IoC en cours de mise à jour. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| commandStatus [booléen] | Vrai si un résultat est obtenu et joint avec succès. |
| errorMessage | Erreur, le cas échéant, qui s’est produite dans l’activité. |
Écrire du contenu à enregistrer en tant qu’activité de pièce jointe
Cette activité écrit le contenu transmis à partir d’une entrée et crée une pièce jointe désignée à un enregistrement donné.
L’activité Écrire du contenu à enregistrer en tant que pièce jointe peut être utilisée avec n’importe quel workflow pour écrire du contenu et le joindre à un enregistrement.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| nom de table [chaîne] | Le nom de table de l’enregistrement. Ce champ d’entrée est obligatoire. |
| SysId [chaîne] | Identificateur système (sys_id) d’un enregistrement de tâche. Ce champ d’entrée est obligatoire. |
| payload | Le contenu en texte brut à écrire en tant que pièce jointe. Ce champ d’entrée est obligatoire. |
| filename | Nom du fichier de la pièce jointe. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| Résultat [chaîne] | Indique si la mise à jour a réussi. |