Obter fluxo de trabalho de aprimoramento de informações da sessão do AutoFocus
Quando o fluxo de trabalho Security Operations Palo Alto Networks - Obter aprimoramento de informações da sessão do AutoFocus é executado, ele enfileira uma consulta de pesquisa com o AutoFocus para coletar informações sobre um IP de origem especificado. Se o AutoFocus tiver conhecimento sobre as sessões anteriores originadas desse endereço IP, um relatório no formato JSON será retornado.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
Atividade de sessão de pesquisa do AutoFocus
A atividade de fluxo de trabalho Sessão de pesquisa do AutoFocus carrega informações de um endereço IP atribuído a um incidente de segurança para o AutoFocus e o enfileira para uma consulta de pesquisa.
Variáveis de entrada
Quando a atividade é executada, ela enfileira uma consulta de pesquisa com AutoFocus para coletar informações para um IP de origem especificado. Se o AutoFocus tiver identificado anteriormente sessões originadas desse endereço IP, um relatório no formato JSON será retornado.
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| searchSessionQuery [cadeia de caracteres] | A consulta de pesquisa para obter informações da sessão. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| requestStatus [booliano] | Verdadeiro se uma consulta de pesquisa foi programada para execução no AutoFocus. |
| erro [cadeia de caracteres] | O erro, se houver, que ocorreu na atividade. |
| afcookie [cadeia de caracteres] | Um identificador da consulta de pesquisa do AutoFocus usado pelo Atividade Buscar resultados de pesquisa para recuperar os resultados da pesquisa. |
Atividade Buscar resultados de pesquisa
A atividade de fluxo de trabalho Buscar resultados de pesquisa busca resultados de pesquisa identificados por um cookie para a consulta de pesquisa iniciada pela atividade de Sessão de pesquisa de foco automático.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| afcookie [cadeia de caracteres] | O cookie do AutoFocus para a solicitação de pesquisa gerada pelo Atividade de sessão de pesquisa do AutoFocus. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| searchPendente [Booliano] | Verdadeiro se a solicitação de pesquisa ainda estiver sendo processada no AutoFocus. |
| resultado [cadeia de caracteres] | Os dados dos resultados da pesquisa. |
| status [booliano] | Verdadeiro se a pesquisa for concluída e os resultados forem gerados com sucesso. |
| erro [cadeia de caracteres] | O erro, se houver, que ocorreu na atividade. |
Gravar conteúdo para registro como atividade de anexo
Esta atividade grava o conteúdo passado de uma entrada e cria um anexo designado para um determinado registro.
A atividade Gravar conteúdo para registro como anexo pode ser usada com qualquer fluxo de trabalho para gravar conteúdo e anexá-lo a um registro.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| nome da tabela [cadeia de caracteres] | O nome da tabela para o registro. Este campo de entrada é obrigatório. |
| sysid [cadeia de caracteres] | O identificador do sistema (sys_id) de um registro de tarefa. Este campo de entrada é obrigatório. |
| carga | O conteúdo de texto sem formatação a ser gravado como anexo. Este campo de entrada é obrigatório. |
| nome do arquivo | O nome do arquivo do anexo. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| resultado [cadeia de caracteres] | Indica se a atualização foi bem-sucedida. |