Obter fluxo de trabalho de aprimoramento de dados do WildFire

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Quando o fluxo de trabalho Security Operations Palo Alto Networks - Obter aprimoramento de dados do WildFire é executado, um arquivo hash é carregado no WildFire. Os dados são aprimorados e os relatórios são baixados para a instância para ajudar no processamento de possíveis ataques de malware.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho Security Operations Palo Alto Networks - Obter enriquecimento de dados do WildFire é executado quando um incidente de segurança é criado a partir de um alerta recebido da aplicação Palo Alto Network Firewall. Um hash de malware da notificação por e-mail recebida do firewall é inserido na guia IoC do incidente de segurança e o registro é atualizado.
    Figura 1. Security Operations Palo Alto Networks - Obter fluxo de trabalho de aprimoramento de dados do WildFire
    Fluxo de trabalho de aprimoramento de dados do Wildfire

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar incidentes em aberto.
    2. Com base na notificação por e-mail recebida do Firewall, localize e abra o incidente de segurança que foi criado.
    3. Clique na guia Indicadores de comprometimento e preencha o hash de malware com o hash que você recebeu no alerta.
    4. Clique em Atualizar.
      O fluxo de trabalho faz com que o arquivo hash seja carregado no WildFire, onde os dados são enriquecidos. Relatórios nos formatos PDF e XML são anexados ao registro (incidente de segurança ou IoC) em sua instância para ajudar no processamento de possíveis ataques de malware.
      Nota:
      Se os dados aprimorados incluírem informações de captura de pacote, as informações do PCAP também serão baixadas. Os dados de PCAP capturam quais ações o arquivo estava executando. Por exemplo, ele pode relatar quais servidores o arquivo estava contatando. Para exibir arquivos PCAP, você precisa de um analisador de pacotes, como o Wireshark.
      Figura 2. PDF de amostra gerado pelo Wildfire
      Exemplo de relatório em PDF

    WildFire - Obter atividade de PCAP

    A atividade de fluxo de trabalho WildFire: Obter PCAP obtém as informações de captura de pacote (PCAP) geradas durante a análise de um hash de arquivo especificado no WildFire. O resultado desta atividade é anexado a um registro específico, conforme identificado por TableName e RecordId.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.

    Tabela 1. Variáveis de entrada
    Variável Descrição
    FileSHA256Hash [cadeia de caracteres] O hash do arquivo recebido da aplicação Palo Alto Network Firewall.
    TableName [cadeia de caracteres] A tabela afetada.
    RecordId [cadeia de caracteres] O incidente de segurança ou IoC que está sendo atualizado.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 2. Variáveis de saída
    Variável Descrição
    commandStatus [booliano] Verdadeiro se um resultado for obtido e anexado com sucesso.
    errorMessage O erro, se houver, que ocorreu na atividade.

    WildFire - obter atividade de relatório em PDF

    A atividade de fluxo de trabalho WildFire: Obter relatório em PDF obtém o relatório gerado durante a análise de um hash de arquivo especificado no WildFire em formato PDF. O resultado desta atividade é anexado a um registro específico, conforme identificado por TableName e RecordId.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.

    Tabela 3. Variáveis de entrada
    Variável Descrição
    TableName [cadeia de caracteres] A tabela afetada.
    FileSHA256Hash [cadeia de caracteres] O hash do arquivo recebido da aplicação Palo Alto Network Firewall.
    RecordId [cadeia de caracteres] O incidente de segurança ou IoC que está sendo atualizado.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 4. Variáveis de saída
    Variável Descrição
    commandStatus [booliano] Verdadeiro se um resultado for obtido e anexado com sucesso.
    errorMessage O erro, se houver, que ocorreu na atividade.

    WildFire - Atividade de obtenção de relatório XML

    A atividade de fluxo de trabalho WildFire: Obter relatório XML obtém o relatório gerado durante a análise de um hash de arquivo especificado no WildFire em formato XML. O resultado desta atividade é anexado a um registro específico, conforme identificado por TableName e RecordId.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.

    Tabela 5. Variáveis de entrada
    Variável Descrição
    TableName [cadeia de caracteres] A tabela afetada.
    FileSHA256Hash [cadeia de caracteres] O hash do arquivo recebido da aplicação Palo Alto Network Firewall.
    RecordId [cadeia de caracteres] O incidente de segurança ou IoC que está sendo atualizado.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 6. Variáveis de saída
    Variável Descrição
    commandStatus [booliano] Verdadeiro se um resultado for obtido e anexado com sucesso.
    errorMessage O erro, se houver, que ocorreu na atividade.

    Gravar conteúdo para registro como atividade de anexo

    Esta atividade grava o conteúdo passado de uma entrada e cria um anexo designado para um determinado registro.

    A atividade Gravar conteúdo para registro como anexo pode ser usada com qualquer fluxo de trabalho para gravar conteúdo e anexá-lo a um registro.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.

    Tabela 7. Variáveis de entrada
    Variável Descrição
    nome da tabela [cadeia de caracteres] O nome da tabela para o registro. Este campo de entrada é obrigatório.
    sysid [cadeia de caracteres] O identificador do sistema (sys_id) de um registro de tarefa. Este campo de entrada é obrigatório.
    carga O conteúdo de texto sem formatação a ser gravado como anexo. Este campo de entrada é obrigatório.
    nome do arquivo O nome do arquivo do anexo.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 8. Variáveis de saída
    Variável Descrição
    resultado [cadeia de caracteres] Indica se a atualização foi bem-sucedida.