Lors de la configuration de certaines applications et intégrations, y compris Renseignements sur les menaces l’intégration, les Palo Alto Networks - Firewall informations des observables dans un incident de sécurité peuvent être automatiquement enrichies avec les données du journal des menaces chaque fois que l’adresse IP source de ses observables est modifiée.

Lorsqu’une modification se produit, une règle métier lance un workflow qui récupère les données des journaux des menaces sur votre pare-feu et enrichit les informations observables dans l’incident de sécurité.

Une fois cette configuration terminée, le changement de l’adresse IP source des observables associés à un incident de sécurité entraîne l’exécution par une règle métier du workflow Security Operations Palo Alto Networks - Obtenir les données de journal . Les activités du workflow mettent en file d’attente une requête de recherche sur le pare-feu et renvoient un ID de tâche utilisé pour récupérer les données des journaux de menaces du pare-feu et les joindre sous forme de fichier XML à l’incident de sécurité.