WildFire-Datenanreicherungs-Workflow abrufen
Wenn der Workflow „ Security Operations Palo Alto Networks – WildFire-Datenanreicherung abrufen“ ausgeführt wird, wird eine Hash-Datei in WildFire hochgeladen. Die Daten werden angereichert, und Berichte werden in die Instanz heruntergeladen, um die Verarbeitung potenzieller Malware-Angriffe zu unterstützen.
Vorbereitungen
Erforderliche Rolle: sn_si.analyst
Warum und wann dieser Vorgang ausgeführt wird
Prozedur
-
Klicken Sie auf Aktualisieren.
Der Workflow bewirkt, dass die Hash-Datei in WildFire hochgeladen wird, wo die Daten angereichert werden. Berichte im PDF- und XML-Format werden an den Datensatz (Security Incident oder IoC) in Ihrer Instanz angehängt, um die Verarbeitung potenzieller Malware-Angriffe zu unterstützen.Hinweis:Wenn die angereicherten Daten Paketerfassungsinformationen enthalten, werden auch PCAP-Informationen heruntergeladen. PCAP-Daten erfassen, welche Aktionen die Datei ausgeführt hat. Beispielsweise kann gemeldet werden, welche Server die Datei kontaktiert hat. Zum Anzeigen von PCAP-Dateien benötigen Sie eine Paketanalyse, z. B. Wireshark.
Abbildung : 2. Beispiel-PDF, generiert von Wildfire
WildFire: PCAP-Aktivität abrufen
Die Workflow-Aktivität „WildFire: PCAP abrufen “ ruft die Paketerfassungsinformationen (PCAP) ab, die während der Analyse eines angegebenen Datei-Hashs in WildFire generiert wurden. Das Ergebnis dieser Aktivität wird an einen bestimmten Datensatz angehängt, der durch TableName und RecordIdidentifiziert wird.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| FileSHA256Hash [Zeichenfolge] | Der Hash der Datei, der von der Anwendung Palo Alto Network Firewall empfangen wurde. |
| Tabellenname [Zeichenfolge] | Die betroffene Tabelle. |
| Datensatz-ID [Zeichenfolge] | Der Security Incident oder IoC, der aktualisiert wird. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| commandStatus [Boolean] | „True“, wenn ein Ergebnis abgerufen und erfolgreich angehängt wurde. |
| errorMessage | Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden. |
WildFire: Aktivität „PDF-Bericht abrufen“.
Die Workflow-Aktivität WildFire: PDF-Bericht abrufen ruft den Bericht ab, der während der Analyse eines angegebenen Datei-Hashs in WildFire im PDF-Format generiert wurde. Das Ergebnis dieser Aktivität wird an einen bestimmten Datensatz angehängt, der durch TableName und RecordIdidentifiziert wird.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Tabellenname [Zeichenfolge] | Die betroffene Tabelle. |
| FileSHA256Hash [Zeichenfolge] | Der Hash der Datei, der von der Anwendung Palo Alto Network Firewall empfangen wurde. |
| Datensatz-ID [Zeichenfolge] | Der Security Incident oder IoC, der aktualisiert wird. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| commandStatus [Boolean] | „True“, wenn ein Ergebnis abgerufen und erfolgreich angehängt wurde. |
| errorMessage | Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden. |
WildFire – XML-Berichtsaktivität abrufen
Die Workflow-Aktivität WildFire: XML-Bericht abrufen ruft den Bericht ab, der während der Analyse eines angegebenen Datei-Hashs in WildFire im XML-Format generiert wurde. Das Ergebnis dieser Aktivität wird an einen bestimmten Datensatz angehängt, der durch TableName und RecordIdidentifiziert wird.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Tabellenname [Zeichenfolge] | Die betroffene Tabelle. |
| FileSHA256Hash [Zeichenfolge] | Der Hash der Datei, der von der Anwendung Palo Alto Network Firewall empfangen wurde. |
| Datensatz-ID [Zeichenfolge] | Der Security Incident oder IoC, der aktualisiert wird. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| commandStatus [Boolean] | „True“, wenn ein Ergebnis abgerufen und erfolgreich angehängt wurde. |
| errorMessage | Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden. |
Schreiben Sie Inhalte, die als Anhangsaktivität aufgezeichnet werden sollen
Diese Aktivität schreibt den aus einer Eingabe übergebenen Inhalt und erstellt einen bestimmten Anhang zu einem bestimmten Datensatz.
Die Aktivität Inhalt in Datensatz als Anhang schreiben kann mit jedem Workflow verwendet werden, um Inhalte zu schreiben und an einen Datensatz anzuhängen.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Tabellenname [Zeichenfolge] | Der Tabellenname für den Datensatz. Dieses Eingabefeld ist ein Pflichtfeld. |
| sysid [Zeichenfolge] | Der Systembezeichner (sys_id) eines Aufgabendatensatzes. Dieses Eingabefeld ist ein Pflichtfeld. |
| Nutzlast | Der Nur-Text-Inhalt, der als Anhang geschrieben werden soll. Dieses Eingabefeld ist ein Pflichtfeld. |
| filename | Name der Anhangdatei. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Ergebnis [Zeichenfolge] | Gibt an, ob die Aktualisierung erfolgreich war. |