[AutoFocus セッション情報拡張を取得 (Get AutoFocus Session Info Enrichment)] フロー
[セキュリティオペレーション Palo Alto Networks - AutoFocus セッション情報拡張を取得 (Security Operations Palo Alto Networks - Get AutoFocus Session Info Enrichment)] フローが実行されると、指定されたソース IP に関する情報を収集するために AutoFocus を使用して検索クエリがキューに入れられます。AutoFocus がその IP アドレスからの以前のセッションを認識している場合は、JSON 形式のレポートが返されます。
始める前に
必要なロール:sn_si.analyst
このタスクについて
セキュリティインシデントの [ソース IP] フィールドが変更され、レコードが更新されると、[セキュリティオペレーション Palo Alto Networks - AutoFocus セッション情報拡張を取得 (Security Operations Palo Alto Networks - Get AutoFocus Session Info Enrichment)] フローが実行されます。このフローは IP アドレスをフェッチし、クエリ要求を AutoFocus に送信します。AutoFocus がその IP アドレスからのセッションを識別したことがある場合は、JSON 形式のレポートが返されます。図 : 1. [セキュリティオペレーション Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get Wildfire Data Enrichment)] フロー
手順
[AutoFocus:検索セッション] アクション
[AutoFocus:検索セッション] フローアクションは、セキュリティインシデントに割り当てられた IP アドレスから AutoFocus に情報をアップロードし、検索クエリのキューに入れます。
入力変数
注:
アクションが実行されると、指定されたソース IP の情報を収集するために AutoFocus を使用して検索クエリがキューに入れられます。AutoFocus がその IP アドレスからのセッションを識別したことがある場合は、JSON 形式のレポートが返されます。
入力変数によってアクションの初期動作が決まります。
| 変数 | 説明 |
|---|---|
| searchSessionQuery [文字列] | セッション情報の検索クエリ。 |
[検索結果のフェッチ (Fetch Search Results)] アクション
[検索結果のフェッチ (Fetch Search Results)] フローアクションは、[AutoFocus:検索セッション] アクションによって開始された検索クエリに対して cookie によって識別された検索結果をフェッチします。
入力変数
入力変数によってアクションの初期動作が決まります。
| 変数 | 説明 |
|---|---|
| afcookie [文字列] | [AutoFocus:検索セッション] アクションによって生成された検索要求の AutoFocus cookie。 |
出力変数
出力変数には、後続のアクションで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| searchPending [ブール] | 検索要求がまだ AutoFocus で処理中の場合は True。 |
| result [文字列] | 検索結果データ。 |
| status [ブール] | 検索が完了し、結果が正常に生成された場合は True。 |
| error [文字列] | アクションで発生したエラー (存在する場合) |