脅威インテリジェンス と Palo Alto Networks - Firewall 統合を含む特定のアプリケーションと統合が設定されている場合、その観測事象のソース IP が変更されるたびに、セキュリティインシデント内の観測事象情報を自動的に拡張できます。

変更が発生すると、ビジネスルールによって、ファイアウォール上の脅威ログからデータを取得し、セキュリティインシデントの観測事象情報を拡張するワークフローが開始されます。

このセットアップが完了した後、セキュリティインシデントに関連付けられた観測事象のソース IP が変更されると、ビジネスルールによって Security Operations Palo Alto Networks - ログデータの取得ワークフローが実行されます。ワークフローアクティビティは、ファイアウォール上の検索クエリをキューに入れ、ファイアウォールから脅威ログデータを取得してセキュリティインシデントに XML ファイルとして添付するために使用されるジョブ ID を返します。