[AutoFocus セッション情報拡張を取得 (Get AutoFocus Session Info Enrichment)] ワークフロー
[Security Operations Palo Alto Networks - AutoFocus セッション情報拡張を取得 (Security Operations Palo Alto Networks - Get AutoFocus Session Info Enrichment)] ワークフローが実行されると、指定されたソース IP に関する情報を収集するために AutoFocus を使用して検索クエリがキューに入れられます。AutoFocus がその IP アドレスからの以前のセッションを認識している場合は、JSON 形式のレポートが返されます。
始める前に
必要なロール:sn_si.analyst
このタスクについて
手順
[AutoFocus:検索セッション] アクティビティ
[AutoFocus:検索セッション] ワークフローアクティビティは、セキュリティインシデントに割り当てられた IP アドレスから AutoFocus に情報をアップロードし、それを検索クエリのキューに入れます。
入力変数
アクティビティが実行されると、指定されたソース IP の情報を収集するために AutoFocus を使用して検索クエリをキューに入れます。AutoFocus がその IP アドレスからのセッションを識別したことがある場合は、JSON 形式のレポートが返されます。
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| searchSessionQuery [文字列] | セッション情報の検索クエリ。 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| requestStatus [ブール] | 検索クエリが AutoFocus で実行されるようにスケジュールされている場合は True。 |
| error [文字列] | アクティビティで発生したエラー (ある場合)。 |
| afcookie [文字列] | [検索結果のフェッチ (Fetch Search Results)] アクティビティ で検索結果を取得するために使用される AutoFocus 検索クエリの識別子。 |
[検索結果のフェッチ (Fetch Search Results)] アクティビティ
[検索結果のフェッチ (Fetch Search Results)] ワークフローアクティビティは、[AutoFocus:検索セッション] アクティビティによって開始された検索クエリに対して cookie によって識別された検索結果をフェッチします。
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| afcookie [文字列] | [AutoFocus:検索セッション] アクティビティによって生成された検索要求の AutoFocus cookie。 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| searchPending [ブール] | 検索要求がまだ AutoFocus で処理中の場合は True。 |
| result [文字列] | 検索結果データ。 |
| status [ブール] | 検索が完了し、結果が正常に生成された場合は True。 |
| error [文字列] | アクティビティで発生したエラー (ある場合)。 |