Obtenir le workflow d’enrichissement des données WildFire

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Lorsque le workflow d’enrichissement des données de Security Operations Palo Alto Networks - Get WildFire est exécuté, un fichier de hachage est téléchargé dans WildFire. Les données sont enrichies et les rapports sont téléchargés sur l’instance pour faciliter le traitement des attaques potentielles de logiciels malveillants.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Le workflow Security Operations Palo Alto Networks - Get WildFire Data Enrichment est exécuté lorsqu’un incident de sécurité est créé à partir d’une alerte reçue de l’application Palo Alto Network Firewall. Un hachage de programme malveillant provenant de la notification par e-mail reçue du pare-feu est saisi dans l’onglet IoC de l’incident de sécurité et l’enregistrement est mis à jour.
    Figure 1. Security Operations Palo Alto Networks - Obtenir le workflow d’enrichissement des données WildFire
    Workflow d’enrichissement des données de WildFire

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents ouverts.
    2. En fonction de la notification par e-mail reçue du pare-feu, localisez et ouvrez l’incident de sécurité qui a été créé.
    3. Cliquez sur l’onglet Indicateurs de compromission et renseignez le hachage de programme malveillant avec le hachage que vous avez reçu dans l’alerte.
    4. Cliquez sur Mettre à jour.
      Le workflow entraîne le téléchargement du fichier de hachage dans WildFire où les données sont enrichies. Les rapports aux formats PDF et XML sont joints à l’enregistrement (incident de sécurité ou IoC) dans votre instance pour faciliter le traitement des attaques potentielles de logiciels malveillants.
      Remarque :
      Si les données enrichies comprennent des informations de capture de paquets, les informations PCAP sont également téléchargées. Les données PCAP capturent les actions effectuées par le fichier. Par exemple, il peut signaler les serveurs contactés par le fichier. Pour afficher les fichiers PCAP, vous avez besoin d’un analyseur de paquets, tel que Wireshark.
      Figure 2. Exemple de PDF généré par Wildfire
      Exemple de rapport PDF

    WildFire : obtenir l’activité PCAP

    L’activité de workflow WildFire : Get PCAP obtient les informations de capture de paquets (PCAP) générées lors de l’analyse d’un hachage de fichier spécifié sur WildFire. Le résultat de cette activité est joint à un enregistrement spécifique identifié par TableName et RecordId.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.

    Tableau 1. Variables d'entrée
    Variable Description
    FileSHA256Hash [chaîne] Hachage du fichier reçu de l’application Palo Alto Network Firewall.
    Nom de table [chaîne] Table affectée.
    RecordId [chaîne] L’incident de sécurité ou l’IoC en cours de mise à jour.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.

    Tableau 2. Variables de sortie
    Variable Description
    commandStatus [booléen] Vrai si un résultat est obtenu et joint avec succès.
    errorMessage Erreur qui s’est produite, le cas échéant, dans l’activité.

    WildFire : obtenir l’activité du rapport PDF

    L’activité de workflow WildFire : Obtenir un rapport PDF obtient le rapport généré lors de l’analyse d’un hachage de fichier spécifié sur WildFire au format PDF. Le résultat de cette activité est joint à un enregistrement spécifique identifié par TableName et RecordId.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.

    Tableau 3. Variables d'entrée
    Variable Description
    Nom de table [chaîne] Table affectée.
    FileSHA256Hash [chaîne] Hachage du fichier reçu de l’application Palo Alto Network Firewall.
    RecordId [chaîne] L’incident de sécurité ou l’IoC en cours de mise à jour.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.

    Tableau 4. Variables de sortie
    Variable Description
    commandStatus [booléen] Vrai si un résultat est obtenu et joint avec succès.
    errorMessage Erreur qui s’est produite, le cas échéant, dans l’activité.

    WildFire : obtenir l’activité du rapport XML

    L’activité de workflow WildFire : Get XML Report obtient le rapport généré lors de l’analyse d’un hachage de fichier spécifié sur WildFire au format XML. Le résultat de cette activité est joint à un enregistrement spécifique identifié par TableName et RecordId.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.

    Tableau 5. Variables d'entrée
    Variable Description
    Nom de table [chaîne] Table affectée.
    FileSHA256Hash [chaîne] Hachage du fichier reçu de l’application Palo Alto Network Firewall.
    RecordId [chaîne] L’incident de sécurité ou l’IoC en cours de mise à jour.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.

    Tableau 6. Variables de sortie
    Variable Description
    commandStatus [booléen] Vrai si un résultat est obtenu et joint avec succès.
    errorMessage Erreur qui s’est produite, le cas échéant, dans l’activité.