[AutoFocus セッション情報拡張を取得 (Get AutoFocus Session Info Enrichment)] ワークフロー

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • [Security Operations Palo Alto Networks - AutoFocus セッション情報拡張を取得 (Security Operations Palo Alto Networks - Get AutoFocus Session Info Enrichment)] ワークフローが実行されると、指定されたソース IP に関する情報を収集するために AutoFocus を使用して検索クエリがキューに入れられます。AutoFocus がその IP アドレスからの以前のセッションを認識している場合は、JSON 形式のレポートが返されます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    [Security Operations Palo Alto Networks - AutoFocus セッション情報拡張を取得 (Security Operations Palo Alto Networks - Get AutoFocus Session Info Enrichment)] ワークフローは、セキュリティインシデントの [ソース IP] フィールドが変更され、レコードが更新されたときに実行されます。このワークフローは IP アドレスをフェッチし、クエリ要求を AutoFocus に送信します。AutoFocus がその IP アドレスからのセッションを識別したことがある場合は、JSON 形式のレポートが返されます。
    図 : 1. [Security Operations Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get WildFire Data Enrichment)] ワークフロー
    AutoFocus ワークフロー

    手順

    1. 移動先 すべて > セキュリティインシデント > オープンインシデントを表示.
    2. [セキュリティ侵害のインジケーター] タブをクリックし、[ソース IP] フィールドに入力します。
    3. [更新] をクリックします。
      AutoFocus はこの IP アドレスからの情報をスキャンし、JSON 形式のテキストファイルがセキュリティインシデントに添付されます。

      この統合に固有のアクティビティについては、ここで説明します。他のアクティビティの詳細については、「一般的な統合ワークフローアクティビティ」を参照してください。

    [AutoFocus:検索セッション] アクティビティ

    [AutoFocus:検索セッション] ワークフローアクティビティは、セキュリティインシデントに割り当てられた IP アドレスから AutoFocus に情報をアップロードし、それを検索クエリのキューに入れます。

    入力変数

    注:

    アクティビティが実行されると、指定されたソース IP の情報を収集するために AutoFocus を使用して検索クエリをキューに入れます。AutoFocus がその IP アドレスからのセッションを識別したことがある場合は、JSON 形式のレポートが返されます。

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 1. 入力変数
    変数 説明
    searchSessionQuery [文字列] セッション情報の検索クエリ。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 2. 出力変数
    変数 説明
    requestStatus [ブール] 検索クエリが AutoFocus で実行されるようにスケジュールされている場合は True。
    error [文字列] アクティビティで発生したエラー (ある場合)。
    afcookie [文字列] [検索結果のフェッチ (Fetch Search Results)] アクティビティ で検索結果を取得するために使用される AutoFocus 検索クエリの識別子。

    [検索結果のフェッチ (Fetch Search Results)] アクティビティ

    [検索結果のフェッチ (Fetch Search Results)] ワークフローアクティビティは、[AutoFocus:検索セッション] アクティビティによって開始された検索クエリに対して cookie によって識別された検索結果をフェッチします。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 3. 入力変数
    変数 説明
    afcookie [文字列] [AutoFocus:検索セッション] アクティビティによって生成された検索要求の AutoFocus cookie。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 4. 出力変数
    変数 説明
    searchPending [ブール] 検索要求がまだ AutoFocus で処理中の場合は True。
    result [文字列] 検索結果データ。
    status [ブール] 検索が完了し、結果が正常に生成された場合は True。
    error [文字列] アクティビティで発生したエラー (ある場合)。

    [コンテンツを添付ファイルとしてレコードに書き込み] アクティビティ

    このアクティビティは、入力から渡されたコンテンツを書き込み、指定された添付ファイルを所定のレコードに作成します。

    [コンテンツを添付ファイルとしてレコードに書き込み] アクティビティを任意のワークフローで使用して、コンテンツを作成してレコードに添付できます。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 5. 入力変数
    変数 説明
    tablename [文字列] レコードのテーブル名。この入力フィールドは必須です。
    sysid [文字列] タスクレコードのシステム識別子 (sys_id)。この入力フィールドは必須です。
    payload 添付ファイルとして書き込まれるプレーンテキストコンテンツ。この入力フィールドは必須です。
    ファイル名 添付ファイル名。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 6. 出力変数
    変数 説明
    result [文字列] 更新が成功したかどうかを示します。