WildFire 데이터 보강 워크플로우 가져오기

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • Security Operations Palo Alto Networks - WildFire 데이터 보강 가져오기 워크플로우가 실행되면 해시 파일이 WildFire에 업로드됩니다. 데이터가 보강되고 보고서가 인스턴스에 다운로드되어 잠재적인 맬웨어 공격을 처리하는 데 도움이 됩니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    보안 운영 Palo Alto Networks - WildFire 데이터 보강 가져오기 워크플로우는 Palo Alto Network Firewall 애플리케이션에서 수신한 경보에서 보안 인시던트가 생성될 때 실행됩니다. 방화벽에서 받은 이메일 알림의 맬웨어 해시가 보안 인시던트의 IoC 탭에 입력되고 기록이 업데이트됩니다.
    그림 1. Security Operations Palo Alto Networks - WildFire 데이터 보강 워크플로우 가져오기
    산불 데이터 보강 워크플로우

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 열린 인시던트 표시.
    2. 방화벽에서 받은 이메일 알림을 기반으로 생성된 보안 인시던트를 찾아 엽니다.
    3. Indicators of Compromise(침해 지표) 탭을 클릭하고 맬웨어 해시를 경고에서 받은 해시로 채웁니다.
    4. 업데이트를 클릭합니다.
      워크플로우는 해시 파일이 WildFire에 업로드되어 데이터가 보강되도록 합니다. PDF 및 XML 형식의 보고서는 인스턴스의 기록(보안 인시던트 또는 IoC)에 첨부되어 잠재적인 맬웨어 공격을 처리하는 데 도움이 됩니다.
      주:
      보강된 데이터에 패킷 캡처 정보가 포함된 경우 PCAP 정보도 다운로드됩니다. PCAP 데이터는 파일이 수행한 작업을 캡처합니다. 예를 들어, 파일이 접속한 서버에 대해 보고할 수 있습니다. PCAP 파일을 보려면 Wireshark와 같은 패킷 분석기가 필요합니다.
      그림 2. Wildfire에서 생성된 샘플 PDF
      샘플 PDF 보고서

    WildFire- PCAP 활동 가져오기

    WildFire: PCAP 가져오기 워크플로우 활동은 WildFire에서 지정된 파일 해시를 분석하는 동안 생성된 패킷 캡처(PCAP) 정보를 가져옵니다. 이 활동의 결과는 TableNameRecordId로 식별되는 특정 레코드에 첨부됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 1. 입력 변수
    변수 설명
    FileSHA256Hash [문자열] Palo Alto Network Firewall 애플리케이션에서 받은 파일의 해시입니다.
    TableName [문자열] 영향을 받는 테이블입니다.
    RecordId [문자열] 업데이트 중인 보안 인시던트 또는 IoC입니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다.

    표 2. 출력 변수
    변수 설명
    commandStatus [부울] 결과를 성공적으로 얻고 첨부하면 예입니다.
    errorMessage 활동에서 발생한 오류입니다(있는 경우).

    WildFire - PDF 보고서 활동 가져오기

    WildFire: PDF 보고서 가져오기 워크플로우 활동은 WildFire에서 지정된 파일 해시를 분석하는 동안 생성된 보고서를 PDF 형식으로 가져옵니다. 이 활동의 결과는 TableNameRecordId로 식별되는 특정 레코드에 첨부됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 3. 입력 변수
    변수 설명
    TableName [문자열] 영향을 받는 테이블입니다.
    FileSHA256Hash [문자열] Palo Alto Network Firewall 애플리케이션에서 받은 파일의 해시입니다.
    RecordId [문자열] 업데이트 중인 보안 인시던트 또는 IoC입니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다.

    표 4. 출력 변수
    변수 설명
    commandStatus [부울] 결과를 성공적으로 얻고 첨부하면 예입니다.
    errorMessage 활동에서 발생한 오류입니다(있는 경우).

    WildFire- XML 보고서 활동 가져오기

    WildFire: XML 보고서 가져오기 워크플로우 활동은 WildFire에서 지정된 파일 해시를 분석하는 동안 생성된 보고서를 XML 형식으로 가져옵니다. 이 활동의 결과는 TableNameRecordId로 식별되는 특정 레코드에 첨부됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 5. 입력 변수
    변수 설명
    TableName [문자열] 영향을 받는 테이블입니다.
    FileSHA256Hash [문자열] Palo Alto Network Firewall 애플리케이션에서 받은 파일의 해시입니다.
    RecordId [문자열] 업데이트 중인 보안 인시던트 또는 IoC입니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다.

    표 6. 출력 변수
    변수 설명
    commandStatus [부울] 결과를 성공적으로 얻고 첨부하면 예입니다.
    errorMessage 활동에서 발생한 오류입니다(있는 경우).