Obter fluxo de enriquecimento de dados do WildFire

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Quando o fluxo de Operações de segurança Palo Alto Networks - Obter aprimoramento de dados do WildFire é executado, um arquivo hash é carregado no WildFire. Os dados são aprimorados e os relatórios são baixados para a instância para ajudar no processamento de possíveis ataques de malware.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo Operações de segurança Palo Alto Networks - Obter aprimoramento de dados do WildFire é executado quando um incidente de segurança é criado a partir de um alerta recebido da aplicação Palo Alto Network Firewall. Um hash de malware da notificação por e-mail recebida do firewall é inserido na guia IoC do incidente de segurança e o registro é atualizado.
    Figura 1. Operações de segurança Palo Alto Networks - Obter fluxo de aprimoramento de dados do WildFire
    Fluxo de enriquecimento de dados do WildFire

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar incidentes em aberto.
    2. Com base na notificação por e-mail recebida do firewall, localize e abra o incidente de segurança que foi criado.
    3. Clique na guia Indicadores de comprometimento e preencha o hash de malware com o hash que você recebeu no alerta.
    4. Clique em Atualizar.
      O fluxo faz com que o arquivo hash seja carregado no WildFire, onde os dados são aprimorados. Relatórios nos formatos PDF e XML são anexados ao registro (incidente de segurança ou IoC) em sua instância para ajudar no processamento de possíveis ataques de malware.
      Nota:
      Se os dados aprimorados incluírem informações de captura de pacotes, as informações de PCAP também serão baixadas. Os dados de PCAP capturam quais ações o arquivo estava executando. Por exemplo, ele pode relatar em quais servidores o arquivo estava entrando em contato. Para exibir arquivos PCAP, você precisa de um analisador de pacotes, como o Wireshark.
      Figura 2. Exemplo de PDF gerado pelo WildFire
      Exemplo de relatório em PDF

    WildFire - obter ação de PCAP

    A ação de fluxo WildFire: Obter PCAP obtém as informações de captura de pacotes (PCAP) geradas durante a análise de um hash de arquivo especificado no WildFire. O resultado desta ação é anexado a um registro específico conforme identificado pelo TableName e pelo RecordId.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da ação.

    Tabela 1. Variáveis de entrada
    Variável Descrição
    ArquivoSHA256Hash [cadeia de caracteres] O hash do arquivo recebido da aplicação Palo Alto Network Firewall.
    TableName [cadeia de caracteres] A tabela afetada.
    RecordId [cadeia de caracteres] O incidente de segurança ou IoC que está sendo atualizado.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em ações subsequentes.

    Tabela 2. Variáveis de saída
    Variável Descrição
    commandStatus [booliano] Verdadeiro se um resultado for obtido e anexado com sucesso.
    errorMessage O erro, se houver, que ocorreu na ação.

    Ação WildFire - obter relatório em PDF

    A ação de fluxo WildFire: Obter relatório em PDF obtém o relatório gerado durante a análise de um hash de arquivo especificado no WildFire no formato PDF. O resultado desta ação é anexado a um registro específico conforme identificado pelo TableName e pelo RecordId.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da ação.

    Tabela 3. Variáveis de entrada
    Variável Descrição
    TableName [cadeia de caracteres] A tabela afetada.
    ArquivoSHA256Hash [cadeia de caracteres] O hash do arquivo recebido da aplicação Palo Alto Network Firewall.
    RecordId [cadeia de caracteres] O incidente de segurança ou IoC que está sendo atualizado.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em ações subsequentes.

    Tabela 4. Variáveis de saída
    Variável Descrição
    commandStatus [booliano] Verdadeiro se um resultado for obtido e anexado com sucesso.
    errorMessage O erro, se houver, que ocorreu na ação.

    WildFire - ação de obter relatório XML

    A ação de fluxo WildFire: Obter relatório XML obtém o relatório gerado durante a análise de um hash de arquivo especificado no WildFire no formato XML. O resultado desta ação é anexado a um registro específico conforme identificado pelo TableName e pelo RecordId.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da ação.

    Tabela 5. Variáveis de entrada
    Variável Descrição
    TableName [cadeia de caracteres] A tabela afetada.
    ArquivoSHA256Hash [cadeia de caracteres] O hash do arquivo recebido da aplicação Palo Alto Network Firewall.
    RecordId [cadeia de caracteres] O incidente de segurança ou IoC que está sendo atualizado.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em ações subsequentes.

    Tabela 6. Variáveis de saída
    Variável Descrição
    commandStatus [booliano] Verdadeiro se um resultado for obtido e anexado com sucesso.
    errorMessage O erro, se houver, que ocorreu na ação.