Obter fluxo de aprimoramento de informações da sessão do AutoFocus

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Quando o fluxo de enriquecimento de informações da sessão do Security Operations Palo Alto Networks - Obter AutoFocus é executado, ele enfileira uma consulta de pesquisa com o AutoFocus para coletar informações sobre um IP de origem especificado. Se o AutoFocus tiver conhecimento sobre sessões anteriores originadas desse endereço IP, um relatório no formato JSON será retornado.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de enriquecimento de informações da sessão do Security Operations Palo Alto Networks - AutoFocus é executado quando o campo IP de origem em um incidente de segurança é modificado e o registro é atualizado. O fluxo busca o endereço IP e envia uma solicitação de consulta para o AutoFocus. Se o AutoFocus tiver identificado anteriormente sessões originadas do endereço IP, um relatório no formato JSON será retornado.
    Figura 1. Security Operations Palo Alto Networks - Obter fluxo de enriquecimento de dados do WildFire
    Obter fluxo de sessão do AutoFocus

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar incidentes em aberto.
    2. Clique na guia Indicadores de comprometimento e preencha o campo IP de origem.
    3. Clique em Atualizar.
      O AutoFocus verifica as informações do endereço IP e um arquivo de texto no formato JSON é anexado ao incidente de segurança.

      As ações específicas para esta integração são descritas aqui. Para obter mais informações sobre outras ações, consulte Fluxos de integração de Operações de segurança comuns e atividades de orquestração.

    Ação da sessão de pesquisa de foco automático

    A ação de fluxo Sessão de pesquisa do AutoFocus carrega informações de um endereço IP atribuído a um incidente de segurança para o AutoFocus e as enfileira para uma consulta de pesquisa.

    Variáveis de entrada

    Nota:

    Quando a ação é executada, ela enfileira uma consulta de pesquisa com o AutoFocus para coletar informações para um IP de origem especificado. Se o AutoFocus tiver identificado anteriormente sessões originadas desse endereço IP, um relatório no formato JSON será retornado.

    As variáveis de entrada determinam o comportamento inicial da ação.

    Tabela 1. Variáveis de entrada
    Variável Descrição
    searchSessionQuery [cadeia de caracteres] A consulta de pesquisa para informações da sessão.

    Ação Buscar resultados de pesquisa

    A ação de fluxo Buscar resultados de pesquisa busca resultados de pesquisa identificados por um cookie para a consulta de pesquisa iniciada pela ação de sessão de pesquisa de foco automático.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da ação.

    Tabela 2. Variáveis de entrada
    Variável Descrição
    afcookie [cadeia de caracteres] O cookie AutoFocus para a solicitação de pesquisa gerada pelo Ação da sessão de pesquisa de foco automático.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em ações subsequentes.

    Tabela 3. Variáveis de saída
    Variável Descrição
    pesquisaPendente [Booliano] Verdadeiro se a solicitação de pesquisa ainda estiver sendo processada no AutoFocus.
    resultado [cadeia de caracteres] Os dados dos resultados da pesquisa.
    status [booliano] Verdadeiro se a pesquisa for concluída e os resultados tiverem sido gerados com sucesso.
    erro [cadeia de caracteres] O erro, se houver, que ocorreu na ação.