AutoFocus 세션 정보 가져오기 보강 워크플로우

릴리스 버전: Xanadu

업데이트 날짜 2024년 08월 01일

소요 시간: 2분

Security Operations Palo Alto Networks - Get AutoFocus 세션 정보 보강 워크플로우가 실행되면 지정된 소스 IP에 대한 정보를 수집하기 위해 AutoFocus를 사용하여 검색 쿼리를 대기열에 넣습니다. AutoFocus가 해당 IP 주소에서 시작된 이전 세션에 대한 정보를 가지고 있는 경우 JSON 형식의 보고서가 반환됩니다.

시작하기 전에

필요한 역할: sn_si.analyst

이 태스크 정보

보안 운영 Palo Alto Networks - AutoFocus 세션 정보 보강 가져오기 워크플로우는 보안 인시던트의 소스 IP 필드가 수정되고 기록이 업데이트될 때 실행됩니다. 워크플로우는 IP 주소를 가져오고 쿼리 요청을 AutoFocus에 제출합니다. AutoFocus가 이전에 IP 주소에서 시작된 세션을 식별한 경우 JSON 형식의 보고서가 반환됩니다.

AutoFocus 워크플로우 — 그림 1. Security Operations Palo Alto Networks - 산불 데이터 보강 워크플로우 가져오기

프로시저

다음으로 이동 모두 > 보안 인시던트 > 열린 인시던트 표시.
Indicators of Compromise(침해 지표) 탭을 클릭하고 Source IP(소스 IP) 필드를 채웁니다.
업데이트를 클릭합니다.
AutoFocus가 IP 주소에서 정보를 검사하고 JSON 형식의 텍스트 파일이 보안 인시던트에 첨부됩니다.
이 통합과 관련된 활동은 여기에 설명되어 있습니다. 다른 활동에 대한 자세한 내용은 다음 문서를 참조하십시오 일반적인 Security Operations 통합 워크플로우 및 오케스트레이션 활동.

AutoFocus 검색 세션 활동

AutoFocus 검색 세션 워크플로우 활동은 보안 인시던트에 할당된 IP 주소의 정보를 AutoFocus에 업로드하고 검색 쿼리를 위해 큐에 대기시킵니다.

입력 변수

주:

활동이 실행되면 지정된 소스 IP에 대한 정보를 수집하기 위해 AutoFocus를 사용하여 검색 쿼리를 대기열에 넣습니다. AutoFocus가 이전에 해당 IP 주소에서 시작된 세션을 식별한 경우 JSON 형식 보고서가 반환됩니다.

입력 변수는 활동의 초기 동작을 결정합니다.

표 1. 입력 변수
변수	설명
searchSessionQuery [문자열]	세션 정보에 대한 검색 쿼리입니다.

출력 변수

출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다.

표 2. 출력 변수
변수	설명
requestStatus [부울]	AutoFocus에서 검색 쿼리를 실행하도록 예약한 경우 True입니다.
오류 [string]	활동에서 발생한 오류입니다(있는 경우).
afcookie [문자열]	검색 결과를 검색하는 데 사용하는 AutoFocus 검색 쿼리의 식별자입니다 검색 결과 활동 가져오기 .

검색 결과 활동 가져오기

검색 결과 가져오기 워크플로우 활동은 쿠키로 식별된 검색 결과를 AutoFocus 검색 세션 활동에서 시작한 검색 쿼리로 가져옵니다.

입력 변수

입력 변수는 활동의 초기 동작을 결정합니다.

표 3. 입력 변수
변수	설명
afcookie [문자열]	에 의해 생성된 검색 요청에 대한 AutoFocus 쿠키입니다 AutoFocus 검색 세션 활동.

출력 변수

출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다.

표 4. 출력 변수
변수	설명
searchPending [부울]	검색 요청이 AutoFocus에서 계속 처리 중이면 True입니다.
결과 [string]	검색 결과 데이터입니다.
status [부울]	검색이 완료되고 결과가 성공적으로 생성된 경우 예입니다.
오류 [string]	활동에서 발생한 오류입니다(있는 경우).