Obtenir des informations sur la session AutoFocus Workflow d’enrichissement
Lorsque le workflow d’enrichissement de Security Operations Palo Alto Networks - Obtenir des informations sur la session AutoFocus est exécuté, il met en file d’attente une requête de recherche avec AutoFocus pour recueillir des informations sur une adresse IP source spécifiée. Si AutoFocus a connaissance des sessions précédentes provenant de cette adresse IP, un rapport au format JSON est renvoyé.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Procédure
Recherche de mise au point automatique Activité de la session
L’activité de workflow Session de recherche AutoFocus charge les informations d’une adresse IP affectée à un incident de sécurité vers AutoFocus et les met en file d’attente pour une requête de recherche.
Variables d'entrée
Lorsque l’activité s’exécute, elle met en file d’attente une requête de recherche avec AutoFocus pour collecter des informations pour une adresse IP source spécifiée. Si AutoFocus a déjà identifié des sessions provenant de cette adresse IP, un rapport au format JSON est renvoyé.
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| searchSessionQuery [chaîne] | Requête de recherche d’informations sur la session. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| requestStatus [booléen] | True si une requête de recherche a été planifiée pour être exécutée dans AutoFocus. |
| Erreur [chaîne] | Erreur, le cas échéant, qui s’est produite dans l’activité. |
| afcookie [chaîne] | Identificateur de la requête de recherche AutoFocus utilisée par le Activité Extraire les résultats de recherche pour récupérer les résultats de recherche. |
Activité Extraire les résultats de recherche
L’activité de workflow Extraire les résultats de recherche récupère les résultats de recherche identifiés par un cookie dans la requête de recherche initiée par l’activité de session de recherche AutoFocus .
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| afcookie [chaîne] | Le cookie AutoFocus pour la requête de recherche générée par le Recherche de mise au point automatique Activité de la sessionfichier . |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| searchPending [booléen] | Vrai si la demande de recherche est toujours en cours de traitement dans AutoFocus. |
| Résultat [chaîne] | Les données des résultats de recherche. |
| état [booléen] | Vrai si la recherche est terminée et que les résultats ont été générés avec succès. |
| Erreur [chaîne] | Erreur, le cas échéant, qui s’est produite dans l’activité. |
Écrire du contenu à enregistrer en tant qu’activité de pièce jointe
Cette activité écrit le contenu transmis à partir d’une entrée et crée une pièce jointe désignée à un enregistrement donné.
L’activité Écrire du contenu à enregistrer en tant que pièce jointe peut être utilisée avec n’importe quel workflow pour écrire du contenu et le joindre à un enregistrement.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| nom de table [chaîne] | Le nom de table de l’enregistrement. Ce champ d’entrée est obligatoire. |
| SysId [chaîne] | Identificateur système (sys_id) d’un enregistrement de tâche. Ce champ d’entrée est obligatoire. |
| payload | Le contenu en texte brut à écrire en tant que pièce jointe. Ce champ d’entrée est obligatoire. |
| filename | Nom du fichier de la pièce jointe. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| Résultat [chaîne] | Indique si la mise à jour a réussi. |