[WildFire データ拡張の取得 (Get WildFire Data Enrichment)] フロー

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • [Security Operations Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get WildFire Data Enrichment)] フローが実行されると、ハッシュファイルが WildFire にアップロードされます。データが拡張され、潜在的なマルウェア攻撃の処理に役立つレポートがインスタンスにダウンロードされます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    [Security Operations Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get WildFire Data Enrichment)] フローは、Palo Alto Networks ファイアウォールアプリケーションから受信したアラートからセキュリティインシデントが作成されたときに実行されます。ファイアウォールから受信したメール通知のマルウェアハッシュがセキュリティインシデントの [IoC] タブに入力され、レコードが更新されます。
    図 : 1. [セキュリティオペレーション Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get Wildfire Data Enrichment)] フロー
    Wildfire データ拡張フロー

    手順

    1. 移動先 すべて > セキュリティインシデント > オープンインシデントを表示.
    2. ファイアウォールから受信したメール通知に基づいて、作成されたセキュリティインシデントを見つけて開きます。
    3. [セキュリティ侵害のインジケーター] タブをクリックし、アラートで受信したハッシュを使用して [マルウェアのハッシュ] に入力します。
    4. [更新] をクリックします。
      フローにより、データが拡張される WildFire にハッシュファイルがアップロードされます。潜在的なマルウェア攻撃の処理に役立つように、PDF および XML 形式のレポートがインスタンス内のレコード (セキュリティインシデントまたは IoC) に添付されます。
      注:
      拡張データにパケットキャプチャ情報が含まれている場合は、PCAP 情報もダウンロードされます。PCAP データは、ファイルが実行していたアクションをキャプチャします。たとえば、ファイルが接続しているサーバーを報告できます。PCAP ファイルを表示するには、Wireshark などのパケットアナライザーが必要です。
      図 : 2. Wildfire によって生成されたサンプル PDF
      サンプル PDF レポート

    [WildFire - PCAPを取得] アクション

    [WildFire:PCAP を取得] フローアクションは、WildFire で指定されたファイルハッシュの分析中に生成されたパケットキャプチャ (PCAP) 情報を取得します。このアクションの結果は、[TableName][RecordID] で識別される特定のレコードに添付されます。

    入力変数

    入力変数によってアクションの初期動作が決まります。

    表 : 1. 入力変数
    変数 説明
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    TableName [文字列] 影響を受けるテーブル。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。

    表 : 2. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクションで発生したエラー (存在する場合)

    [WildFire:PDF レポートを取得] アクション

    [WildFire:PDF レポートを取得] フローアクションは、WildFire で指定されたファイルハッシュの分析中に生成されたレポートを PDF 形式で取得します。このアクションの結果は、[TableName][RecordID] で識別される特定のレコードに添付されます。

    入力変数

    入力変数によってアクションの初期動作が決まります。

    表 : 3. 入力変数
    変数 説明
    TableName [文字列] 影響を受けるテーブル。
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。

    表 : 4. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクションで発生したエラー (存在する場合)

    [WildFire:XML レポートを取得] アクション

    [WildFire:XML レポートを取得] フローアクションでは、WildFire の特定のファイルハッシュの分析中に生成されたレポートを XML ファイル形式で取得します。このアクションの結果は、[TableName][RecordID] で識別される特定のレコードに添付されます。

    入力変数

    入力変数によってアクションの初期動作が決まります。

    表 : 5. 入力変数
    変数 説明
    TableName [文字列] 影響を受けるテーブル。
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。

    表 : 6. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクションで発生したエラー (存在する場合)