Obter fluxo de trabalho de aprimoramento de dados do WildFire

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Quando o fluxo de trabalho Operações de segurança Palo Alto Networks - Obter aprimoramento de dados do WildFire é executado, um arquivo hash é carregado no WildFire. Os dados são aprimorados e os relatórios são baixados para a instância para ajudar no processamento de possíveis ataques de malware.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho Operações de segurança Palo Alto Networks - Obter aprimoramento de dados do WildFire é executado quando um incidente de segurança é criado a partir de um alerta recebido da aplicação Palo Alto Network Firewall. Um hash de malware da notificação por e-mail recebida do firewall é inserido na guia IoC do incidente de segurança e o registro é atualizado.
    Figura 1. Operações de segurança Palo Alto Networks - Obter fluxo de trabalho de aprimoramento de dados do WildFire
    Fluxo de trabalho de enriquecimento de dados do WildFire

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar incidentes em aberto.
    2. Com base na notificação por e-mail recebida do firewall, localize e abra o incidente de segurança que foi criado.
    3. Clique na guia Indicadores de comprometimento e preencha o hash de malware com o hash que você recebeu no alerta.
    4. Clique em Atualizar.
      O fluxo de trabalho faz com que o arquivo hash seja carregado no WildFire, onde os dados são aprimorados. Relatórios nos formatos PDF e XML são anexados ao registro (incidente de segurança ou IoC) em sua instância para ajudar no processamento de possíveis ataques de malware.
      Nota:
      Se os dados aprimorados incluírem informações de captura de pacotes, as informações de PCAP também serão baixadas. Os dados de PCAP capturam quais ações o arquivo estava executando. Por exemplo, ele pode relatar em quais servidores o arquivo estava entrando em contato. Para exibir arquivos PCAP, você precisa de um analisador de pacotes, como o Wireshark.
      Figura 2. Exemplo de PDF gerado pelo WildFire
      Exemplo de relatório em PDF

    WildFire - obter atividade de PCAP

    A atividade de fluxo de trabalho WildFire: Obter PCAP obtém as informações de captura de pacotes (PCAP) geradas durante a análise de um hash de arquivo especificado no WildFire. O resultado desta atividade é anexado a um registro específico conforme identificado pelo TableName e pelo RecordId.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.

    Tabela 1. Variáveis de entrada
    Variável Descrição
    ArquivoSHA256Hash [cadeia de caracteres] O hash do arquivo recebido da aplicação Palo Alto Network Firewall.
    TableName [cadeia de caracteres] A tabela afetada.
    RecordId [cadeia de caracteres] O incidente de segurança ou IoC que está sendo atualizado.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 2. Variáveis de saída
    Variável Descrição
    commandStatus [booliano] Verdadeiro se um resultado for obtido e anexado com sucesso.
    errorMessage O erro, se houver, que ocorreu na atividade.

    Atividade WildFire - obter relatório em PDF

    A atividade de fluxo de trabalho WildFire: Obter relatório em PDF obtém o relatório gerado durante a análise de um hash de arquivo especificado no WildFire no formato PDF. O resultado desta atividade é anexado a um registro específico conforme identificado pelo TableName e pelo RecordId.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.

    Tabela 3. Variáveis de entrada
    Variável Descrição
    TableName [cadeia de caracteres] A tabela afetada.
    ArquivoSHA256Hash [cadeia de caracteres] O hash do arquivo recebido da aplicação Palo Alto Network Firewall.
    RecordId [cadeia de caracteres] O incidente de segurança ou IoC que está sendo atualizado.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 4. Variáveis de saída
    Variável Descrição
    commandStatus [booliano] Verdadeiro se um resultado for obtido e anexado com sucesso.
    errorMessage O erro, se houver, que ocorreu na atividade.

    Atividade WildFire- obter relatório XML

    A atividade de fluxo de trabalho WildFire: Obter relatório XML obtém o relatório gerado durante a análise de um hash de arquivo especificado no WildFire no formato XML. O resultado desta atividade é anexado a um registro específico conforme identificado pelo TableName e pelo RecordId.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.

    Tabela 5. Variáveis de entrada
    Variável Descrição
    TableName [cadeia de caracteres] A tabela afetada.
    ArquivoSHA256Hash [cadeia de caracteres] O hash do arquivo recebido da aplicação Palo Alto Network Firewall.
    RecordId [cadeia de caracteres] O incidente de segurança ou IoC que está sendo atualizado.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 6. Variáveis de saída
    Variável Descrição
    commandStatus [booliano] Verdadeiro se um resultado for obtido e anexado com sucesso.
    errorMessage O erro, se houver, que ocorreu na atividade.