Obtenir des informations sur la session AutoFocus Workflow d’enrichissement
Lorsque le workflow d’enrichissement de Security Operations Palo Alto Networks - Obtenir des informations sur la session AutoFocus est exécuté, il met en file d’attente une requête de recherche avec AutoFocus pour recueillir des informations sur une adresse IP source spécifiée. Si AutoFocus a connaissance des sessions précédentes provenant de cette adresse IP, un rapport au format JSON est renvoyé.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Procédure
Recherche de mise au point automatique Activité de la session
L’activité de workflow Session de recherche AutoFocus télécharge les informations d’une adresse IP affectée à un incident de sécurité vers AutoFocus et les met en file d’attente pour une requête de recherche.
Variables d'entrée
Lorsque l’activité s’exécute, elle met en file d’attente une requête de recherche avec AutoFocus pour collecter des informations pour une adresse IP source spécifiée. Si AutoFocus a déjà identifié des sessions provenant de cette adresse IP, un rapport au format JSON est renvoyé.
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| searchSessionQuery [chaîne] | Requête de recherche d’informations sur la session. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| requestStatus [booléen] | Vrai si une requête de recherche a été planifiée pour une exécution dans AutoFocus. |
| erreur [chaîne] | Erreur qui s’est produite, le cas échéant, dans l’activité. |
| afcookie [chaîne] | Identificateur de la requête de recherche AutoFocus utilisée par le Activité Extraire les résultats de la recherche pour récupérer les résultats de la recherche. |
Activité Extraire les résultats de la recherche
L’activité de workflow Extraire les résultats de recherche extrait les résultats de recherche identifiés par un cookie dans la requête de recherche initiée par l’activité de session de recherche AutoFocus .
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| afcookie [chaîne] | Le cookie AutoFocus pour la requête de recherche générée par le Recherche de mise au point automatique Activité de la sessionfichier . |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| searchPending [booléen] | Vrai si la demande de recherche est toujours en cours de traitement dans AutoFocus. |
| Résultat [chaîne] | Données des résultats de la recherche. |
| état [booléen] | Vrai si la recherche est terminée et que les résultats ont été générés avec succès. |
| erreur [chaîne] | Erreur qui s’est produite, le cas échéant, dans l’activité. |