AutoFocus セッション情報拡張フローを取得
[Security Operations Palo Alto Networks - AutoFocus セッション情報拡張を取得] フローが実行されると、指定されたソース IP に関する情報を収集するために、AutoFocus を使用して検索クエリがキューに入れられます。AutoFocus がその IP アドレスからの以前のセッションを認識している場合は、JSON 形式のレポートが返されます。
始める前に
必要なロール:sn_si.analyst
このタスクについて
[Security Operations Palo Alto Networks - AutoFocus セッション情報を取得 (Security Operations Palo Alto Networks - Get AutoFocus Session Info Enrichment)] フローは、セキュリティインシデントの [ソース IP] フィールドが変更され、レコードが更新されると実行されます。このフローは IP アドレスをフェッチし、クエリ要求を AutoFocus に送信します。AutoFocus がその IP アドレスからのセッションを識別したことがある場合は、JSON 形式のレポートが返されます。図 : 1. Security Operations Palo Alto Networks - WildFire データ拡張フローを取得
手順
AutoFocus 検索セッションアクション
[AutoFocus 検索セッション] フローアクションは、セキュリティインシデントに割り当てられた IP アドレスから AutoFocus に情報をアップロードし、検索クエリのキューに入れます。
入力変数
注:
アクションが実行されると、指定されたソース IP の情報を収集するために、AutoFocus を使用して検索クエリがキューに入れられます。AutoFocus がその IP アドレスからのセッションを識別したことがある場合は、JSON 形式のレポートが返されます。
アクションの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| searchSessionQuery [文字列] | セッション情報の検索クエリ。 |
[検索結果をフェッチ] アクション
[検索結果をフェッチ] フローアクションは、Cookieによって識別された検索結果を、AutoFocus 検索セッションアクションによって開始された検索クエリにフェッチします。
入力変数
アクションの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| afcookie [文字列] | AutoFocus 検索セッションアクションによって生成された検索要求の AutoFocus cookie。 |
出力変数
出力変数には、後続のアクションで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| searchPending [ブール] | 検索要求がまだ AutoFocus で処理中の場合は True。 |
| result [文字列] | 検索結果データ。 |
| status [ブール] | 検索が完了し、結果が正常に生成された場合は True。 |
| error [文字列] | アクションで発生したエラー (ある場合)。 |