[WildFire データ拡張の取得 (Get WildFire Data Enrichment)] ワークフロー

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • [Security Operations Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get WildFire Data Enrichment)] ワークフローが実行されると、ハッシュファイルが WildFire にアップロードされます。データが拡張され、潜在的なマルウェア攻撃の処理に役立つレポートがインスタンスにダウンロードされます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    [Security Operations Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get WildFire Data Enrichment)] ワークフローは、Palo Alto Networks ファイアウォールアプリケーションから受信したアラートからセキュリティインシデントが作成されたときに実行されます。ファイアウォールから受信したメール通知のマルウェアハッシュがセキュリティインシデントの [IoC] タブに入力され、レコードが更新されます。
    図 : 1. [Security Operations Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get WildFire Data Enrichment)] ワークフロー
    WildFire データ拡張ワークフロー

    手順

    1. 移動先 すべて > セキュリティインシデント > オープンインシデントを表示.
    2. ファイアウォールから受信したメール通知に基づいて、作成されたセキュリティインシデントを見つけて開きます。
    3. [セキュリティ侵害のインジケーター] タブをクリックし、アラートで受信したハッシュを使用して [マルウェアのハッシュ] に入力します。
    4. [更新] をクリックします。
      ワークフローにより、データが拡張される WildFire にハッシュファイルがアップロードされます。潜在的なマルウェア攻撃の処理に役立つように、PDF および XML 形式のレポートがインスタンス内のレコード (セキュリティインシデントまたは IoC) に添付されます。
      注:
      拡張データにパケットキャプチャ情報が含まれている場合は、PCAP 情報もダウンロードされます。PCAP データは、ファイルが実行していたアクションをキャプチャします。たとえば、ファイルが接続しているサーバーを報告できます。PCAP ファイルを表示するには、Wireshark などのパケットアナライザーが必要です。
      図 : 2. Wildfire によって生成されたサンプル PDF
      サンプル PDF レポート

    [WildFire:PCAP を取得] アクティビティ

    [WildFire:PCAP を取得] ワークフローアクティビティは、WildFire で指定されたファイルハッシュの分析中に生成されたパケットキャプチャ (PCAP) 情報を取得します。このアクティビティの結果は、TableNameRecordId で識別される特定のレコードに添付されます。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 1. 入力変数
    変数 説明
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    TableName [文字列] 影響を受けるテーブル。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 2. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクティビティで発生したエラー (ある場合)。

    [WildFire:PDF レポートを取得] アクティビティ

    [WildFire:PDF レポートを取得] ワークフローアクティビティは、WildFire で指定されたファイルハッシュの分析中に生成されたレポートを PDF 形式で取得します。このアクティビティの結果は、TableNameRecordId で識別される特定のレコードに添付されます。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 3. 入力変数
    変数 説明
    TableName [文字列] 影響を受けるテーブル。
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 4. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクティビティで発生したエラー (ある場合)。

    [WildFire:XML レポートを取得] アクティビティ

    [WildFire:XML レポートを取得] ワークフローアクティビティは、WildFire で指定されたファイルハッシュの分析中に生成されたレポートを XML 形式で取得します。このアクティビティの結果は、TableNameRecordId で識別される特定のレコードに添付されます。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 5. 入力変数
    変数 説明
    TableName [文字列] 影響を受けるテーブル。
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 6. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクティビティで発生したエラー (ある場合)。

    [コンテンツを添付ファイルとしてレコードに書き込み] アクティビティ

    このアクティビティは、入力から渡されたコンテンツを書き込み、指定された添付ファイルを所定のレコードに作成します。

    [コンテンツを添付ファイルとしてレコードに書き込み] アクティビティを任意のワークフローで使用して、コンテンツを作成してレコードに添付できます。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 7. 入力変数
    変数 説明
    tablename [文字列] レコードのテーブル名。この入力フィールドは必須です。
    sysid [文字列] タスクレコードのシステム識別子 (sys_id)。この入力フィールドは必須です。
    payload 添付ファイルとして書き込まれるプレーンテキストコンテンツ。この入力フィールドは必須です。
    ファイル名 添付ファイル名。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 8. 出力変数
    変数 説明
    result [文字列] 更新が成功したかどうかを示します。