Workflow zum Anreichern von AutoFocus-Sitzungsinformationen abrufen
Wenn der Workflow „Security Operations Palo Alto Networks – AutoFocus-Sitzungsanreicherung abrufen“ ausgeführt wird, wird eine Suchabfrage mit AutoFocus in die Warteschlange gestellt, um Informationen zu einer angegebenen Quell-IP zu sammeln. Wenn AutoFocus Wissen über vorherige Sitzungen hat, die von dieser IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.
Vorbereitungen
Erforderliche Rolle: sn_si.analyst
Warum und wann dieser Vorgang ausgeführt wird
Prozedur
AutoFocus-Suchsitzungsaktivität
Mit der Workflow-Aktivität AutoFocus -Suchsitzung werden Informationen von einer IP-Adresse, die einem Security Incident zugewiesen ist, in AutoFocus hochgeladen und für eine Suchabfrage in die Warteschlange gestellt.
Eingabevariablen
Wenn die Aktivität ausgeführt wird, wird eine Suchabfrage mit AutoFocus zum Sammeln von Informationen für eine angegebene Quell-IP in die Warteschlange gestellt. Wenn AutoFocus zuvor Sitzungen identifiziert hat, die von dieser IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| searchSessionQuery [Zeichenfolge] | Die Suchabfrage nach Sitzungsinformationen. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| requestStatus [Boolean] | „True“, wenn eine Suchabfrage für die Ausführung in AutoFocus geplant wurde. |
| Fehler [Zeichenfolge] | Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden. |
| afcookie [Zeichenfolge] | Ein Bezeichner für die AutoFocus-Suchabfrage, die von Aktivität „Suchergebnisse abrufen“. zum Abrufen der Suchergebnisse verwendet wird. |
Aktivität „Suchergebnisse abrufen“.
Die Workflow-Aktivität „ Suchergebnisse abrufen“ ruft Suchergebnisse ab, die durch ein Cookie für die Suchabfrage identifiziert wurden, die von der Aktivität „AutoFocus -Suchsitzung“ initiiert wurde.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| afcookie [Zeichenfolge] | Das AutoFocus-Cookie für die von AutoFocus-Suchsitzungsaktivitätgenerierte Suchanforderung. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| searchPending [Boolean] | „True“, wenn die Suchanforderung noch in AutoFocus verarbeitet wird. |
| Ergebnis [Zeichenfolge] | Die Suchergebnisdaten. |
| Status [Boolean] | „True“, wenn die Suche abgeschlossen ist und die Ergebnisse erfolgreich generiert wurden. |
| Fehler [Zeichenfolge] | Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden. |
Schreiben Sie Inhalte, die als Anhangsaktivität aufgezeichnet werden sollen
Diese Aktivität schreibt den aus einer Eingabe übergebenen Inhalt und erstellt einen bestimmten Anhang zu einem bestimmten Datensatz.
Die Aktivität Inhalt in Datensatz als Anhang schreiben kann mit jedem Workflow verwendet werden, um Inhalte zu schreiben und an einen Datensatz anzuhängen.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Tabellenname [Zeichenfolge] | Der Tabellenname für den Datensatz. Dieses Eingabefeld ist ein Pflichtfeld. |
| sysid [Zeichenfolge] | Der Systembezeichner (sys_id) eines Aufgabendatensatzes. Dieses Eingabefeld ist ein Pflichtfeld. |
| Nutzlast | Der Nur-Text-Inhalt, der als Anhang geschrieben werden soll. Dieses Eingabefeld ist ein Pflichtfeld. |
| filename | Name der Anhangdatei. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Ergebnis [Zeichenfolge] | Gibt an, ob die Aktualisierung erfolgreich war. |