Obter fluxo de trabalho de aprimoramento de dados do WildFire
Quando o fluxo de trabalho Security Operations Palo Alto Networks - Obter aprimoramento de dados do WildFire é executado, um arquivo hash é carregado no WildFire. Os dados são aprimorados e os relatórios são baixados para a instância para ajudar no processamento de possíveis ataques de malware.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
-
Clique em Atualizar.
O fluxo de trabalho faz com que o arquivo hash seja carregado no WildFire, onde os dados são enriquecidos. Relatórios nos formatos PDF e XML são anexados ao registro (incidente de segurança ou IoC) em sua instância para ajudar no processamento de possíveis ataques de malware.Nota:Se os dados aprimorados incluírem informações de captura de pacote, as informações do PCAP também serão baixadas. Os dados de PCAP capturam quais ações o arquivo estava executando. Por exemplo, ele pode relatar quais servidores o arquivo estava contatando. Para exibir arquivos PCAP, você precisa de um analisador de pacotes, como o Wireshark.
Figura 2. PDF de amostra gerado pelo Wildfire
WildFire - Obter atividade de PCAP
A atividade de fluxo de trabalho WildFire: Obter PCAP obtém as informações de captura de pacote (PCAP) geradas durante a análise de um hash de arquivo especificado no WildFire. O resultado desta atividade é anexado a um registro específico, conforme identificado por TableName e RecordId.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| FileSHA256Hash [cadeia de caracteres] | O hash do arquivo recebido da aplicação Palo Alto Network Firewall. |
| TableName [cadeia de caracteres] | A tabela afetada. |
| RecordId [cadeia de caracteres] | O incidente de segurança ou IoC que está sendo atualizado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| commandStatus [booliano] | Verdadeiro se um resultado for obtido e anexado com sucesso. |
| errorMessage | O erro, se houver, que ocorreu na atividade. |
WildFire - obter atividade de relatório em PDF
A atividade de fluxo de trabalho WildFire: Obter relatório em PDF obtém o relatório gerado durante a análise de um hash de arquivo especificado no WildFire em formato PDF. O resultado desta atividade é anexado a um registro específico, conforme identificado por TableName e RecordId.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| TableName [cadeia de caracteres] | A tabela afetada. |
| FileSHA256Hash [cadeia de caracteres] | O hash do arquivo recebido da aplicação Palo Alto Network Firewall. |
| RecordId [cadeia de caracteres] | O incidente de segurança ou IoC que está sendo atualizado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| commandStatus [booliano] | Verdadeiro se um resultado for obtido e anexado com sucesso. |
| errorMessage | O erro, se houver, que ocorreu na atividade. |
WildFire - Atividade de obtenção de relatório XML
A atividade de fluxo de trabalho WildFire: Obter relatório XML obtém o relatório gerado durante a análise de um hash de arquivo especificado no WildFire em formato XML. O resultado desta atividade é anexado a um registro específico, conforme identificado por TableName e RecordId.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| TableName [cadeia de caracteres] | A tabela afetada. |
| FileSHA256Hash [cadeia de caracteres] | O hash do arquivo recebido da aplicação Palo Alto Network Firewall. |
| RecordId [cadeia de caracteres] | O incidente de segurança ou IoC que está sendo atualizado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| commandStatus [booliano] | Verdadeiro se um resultado for obtido e anexado com sucesso. |
| errorMessage | O erro, se houver, que ocorreu na atividade. |
Gravar conteúdo para registro como atividade de anexo
Esta atividade grava o conteúdo passado de uma entrada e cria um anexo designado para um determinado registro.
A atividade Gravar conteúdo para registro como anexo pode ser usada com qualquer fluxo de trabalho para gravar conteúdo e anexá-lo a um registro.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| nome da tabela [cadeia de caracteres] | O nome da tabela para o registro. Este campo de entrada é obrigatório. |
| sysid [cadeia de caracteres] | O identificador do sistema (sys_id) de um registro de tarefa. Este campo de entrada é obrigatório. |
| carga | O conteúdo de texto sem formatação a ser gravado como anexo. Este campo de entrada é obrigatório. |
| nome do arquivo | O nome do arquivo do anexo. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| resultado [cadeia de caracteres] | Indica se a atualização foi bem-sucedida. |