Obter fluxo de aprimoramento de dados do Wildfire
. Palo Alto Networks de operações de segurança - Obtenha aprimoramento de dados selvagens O fluxo é executado, um arquivo de hash é carregado no Wildfire. Os dados são aprimorados e os relatórios são baixados para a instância para ajudar no processamento de possíveis ataques de malware.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
-
Clique em Atualizar.
O fluxo faz com que o arquivo de hash seja carregado no Wildfire, onde os dados são aprimorados. Os relatórios nos formatos PDF e XML são anexados ao registro (incidente de segurança ou IOC) em sua instância para ajudar no processamento de possíveis ataques de malware.Nota:Se os dados aprimorados incluírem informações de captura de pacote, as informações do PCAP também serão baixadas. Os dados do PCAP capturam quais ações o arquivo estava executando. Por exemplo, ele pode relatar quais servidores o arquivo estava contatando. Para exibir arquivos pCAP, você precisa de um analisador de pacotes, como Wireshark .
Figura 2. PDF de amostra gerado pelo Wildfire
Wildfire- Obter ação PCAP
. Wildfire: Obter pCAP A ação de fluxo obtém as informações de captura de pacote (PCAP) geradas durante a análise de um hash de arquivo especificado no wildfire. O resultado desta ação é anexado a um registro específico, conforme identificado por Tablename e. RecordId .
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação.
| Variável | Descrição |
|---|---|
| FileSHA256Hash [cadeia de caracteres] | O hash do arquivo recebido da aplicação Firewall de rede Palo Alto. |
| Tablename [cadeia de caracteres] | A tabela afetada. |
| RecordId [cadeia de caracteres] | O incidente de segurança ou IOC que está sendo atualizado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes.
| Variável | Descrição |
|---|---|
| CommandStatus [booliano] | Verdadeiro se um resultado for obtido e anexado com sucesso. |
| errorMessage | O erro, se houver, que ocorreu na ação. |
Wildfire- Obter ação de relatório em PDF
. Wildfire: Obter relatório em PDF A ação de fluxo obtém o relatório gerado durante a análise de um hash de arquivo especificado no Wildfire no formato PDF. O resultado desta ação é anexado a um registro específico, conforme identificado por Tablename e. RecordId .
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação.
| Variável | Descrição |
|---|---|
| Tablename [cadeia de caracteres] | A tabela afetada. |
| FileSHA256Hash [cadeia de caracteres] | O hash do arquivo recebido da aplicação Firewall de rede Palo Alto. |
| RecordId [cadeia de caracteres] | O incidente de segurança ou IOC que está sendo atualizado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes.
| Variável | Descrição |
|---|---|
| CommandStatus [booliano] | Verdadeiro se um resultado for obtido e anexado com sucesso. |
| errorMessage | O erro, se houver, que ocorreu na ação. |
Wildfire- Obter ação de relatório XML
. Wildfire: Obter relatório XML A ação de fluxo obtém o relatório gerado durante a análise de um hash de arquivo especificado no Wildfire no formato XML. O resultado desta ação é anexado a um registro específico, conforme identificado por Tablename e. RecordId .
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação.
| Variável | Descrição |
|---|---|
| Tablename [cadeia de caracteres] | A tabela afetada. |
| FileSHA256Hash [cadeia de caracteres] | O hash do arquivo recebido da aplicação Firewall de rede Palo Alto. |
| RecordId [cadeia de caracteres] | O incidente de segurança ou IOC que está sendo atualizado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes.
| Variável | Descrição |
|---|---|
| CommandStatus [booliano] | Verdadeiro se um resultado for obtido e anexado com sucesso. |
| errorMessage | O erro, se houver, que ocorreu na ação. |