Obter fluxo de aprimoramento de dados Wildfire
Quando o. Redes da Palo Alto de operações de segurança - Obter enriquecimento de dados Wildfire O fluxo é executado, um arquivo hash é carregado no Wildfire. Os dados são aprimorados e os relatórios são baixados para a instância para ajudar no processamento de possíveis ataques de malware.
Antes de Iniciar
Função necessária: sn_si.analista
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
-
Clique em Atualizar.
O fluxo faz com que o arquivo hash seja carregado no Wildfire, onde os dados são enriquecidos. Os relatórios nos formatos PDF e XML são anexados ao registro (incidente de segurança ou IOC) em sua instância para ajudar no processamento de possíveis ataques de malware.Nota:Se os dados aprimorados incluírem informações de captura de pacote, as informações de PCAP também serão baixadas. Os dados de PCAP capturam quais ações o arquivo estava executando. Por exemplo, ele pode relatar quais servidores o arquivo estava contatando. Para exibir arquivos pcap, você precisa de um analisador de pacotes, como Wireshark .
Figura 2. PDF de amostra gerado pelo Wildfire
Wildfire- Obter ação pcap
. Wildfire: Obter pcap A ação de fluxo obtém as informações de captura de pacote (pcap) geradas durante a análise de um hash de arquivo especificado no Wildfire. O resultado desta ação está anexado a um registro específico, conforme identificado pelo Nome da tabela e. RecordId .
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação.
| Variável | Descrição |
|---|---|
| FileSHA256Hash [cadeia de caracteres] | O hash do arquivo recebido da aplicação Firewall de rede de Palo Alto. |
| Nome da tabela [cadeia de caracteres] | A tabela afetada. |
| RecordId [cadeia de caracteres] | O incidente de segurança ou IOC que está sendo atualizado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes.
| Variável | Descrição |
|---|---|
| CommandStatus [booliano] | Verdadeiro se um resultado for obtido e anexado com sucesso. |
| errorMessage | O erro, se houver, que ocorreu na ação. |
Wildfire- Obter ação de relatório em PDF
. Wildfire: Obter relatório em PDF A ação de fluxo obtém o relatório gerado durante a análise de um hash de arquivo especificado no Wildfire no formato PDF. O resultado desta ação está anexado a um registro específico, conforme identificado pelo Nome da tabela e. RecordId .
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação.
| Variável | Descrição |
|---|---|
| Nome da tabela [cadeia de caracteres] | A tabela afetada. |
| FileSHA256Hash [cadeia de caracteres] | O hash do arquivo recebido da aplicação Firewall de rede de Palo Alto. |
| RecordId [cadeia de caracteres] | O incidente de segurança ou IOC que está sendo atualizado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes.
| Variável | Descrição |
|---|---|
| CommandStatus [booliano] | Verdadeiro se um resultado for obtido e anexado com sucesso. |
| errorMessage | O erro, se houver, que ocorreu na ação. |
Wildfire- Obter ação de relatório XML
. Wildfire: Obter relatório XML A ação de fluxo obtém o relatório gerado durante a análise de um hash de arquivo especificado no Wildfire no formato XML. O resultado desta ação está anexado a um registro específico, conforme identificado pelo Nome da tabela e. RecordId .
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação.
| Variável | Descrição |
|---|---|
| Nome da tabela [cadeia de caracteres] | A tabela afetada. |
| FileSHA256Hash [cadeia de caracteres] | O hash do arquivo recebido da aplicação Firewall de rede de Palo Alto. |
| RecordId [cadeia de caracteres] | O incidente de segurança ou IOC que está sendo atualizado. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes.
| Variável | Descrição |
|---|---|
| CommandStatus [booliano] | Verdadeiro se um resultado for obtido e anexado com sucesso. |
| errorMessage | O erro, se houver, que ocorreu na ação. |