Rufen Sie den Workflow zur WildFire-Datenanreicherung ab

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Wenn der Workflow „ Security Operations Palo Alto Networks – WildFire Data Enrichment abrufen“ ausgeführt wird, wird eine Hash-Datei in WildFire hochgeladen. Die Daten werden angereichert, und Berichte werden in die Instanz heruntergeladen, um die Verarbeitung potenzieller Malware-Angriffe zu unterstützen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow „ Security Operations Palo Alto Networks – WildFire-Datenanreicherung abrufen“ wird ausgeführt, wenn ein Security Incident aus einer Warnung erstellt wird, die von der Anwendung „Palo Alto Network Firewall“ empfangen wurde. Auf der Registerkarte „IoC “ des Security Incident wird ein Malware-Hash aus der E-Mail-Benachrichtigung eingegeben, die von der Firewall empfangen wurde, und der Datensatz wird aktualisiert.
    Abbildung : 1. Security Operations Palo Alto Networks – WildFire-Datenanreicherungs-Workflow abrufen
    WildFire-Workflow zur Datenanreicherung

    Prozedur

    1. Navigieren zu Alle > Security Incident > Offene Incidents anzeigenan.
    2. Suchen und öffnen Sie den erstellten Security Incident anhand der E-Mail-Benachrichtigung, die Sie von der Firewall erhalten haben.
    3. Klicken Sie auf die Registerkarte Kompromittierungsindikatoren, und füllen Sie den Malware-Hash mit dem Hash aus, den Sie in der Warnung erhalten haben.
    4. Klicken Sie auf Aktualisieren.
      Der Workflow bewirkt, dass die Hash-Datei in WildFire hochgeladen wird, wo die Daten angereichert werden. Berichte im PDF- und XML-Format werden an den Datensatz (Security Incident oder IoC) in Ihrer -Instanz angehängt, um die Verarbeitung potenzieller Malware-Angriffe zu unterstützen.
      Hinweis:
      Wenn die angereicherten Daten Paketerfassungsinformationen enthalten, werden auch PCAP-Informationen heruntergeladen. PCAP-Daten erfassen, welche Aktionen die Datei ausgeführt hat. Beispielsweise kann gemeldet werden, welche Server die Datei kontaktiert hat. Zum Anzeigen von PCAP-Dateien benötigen Sie einen Paketanalysierer, z. B. Wireshark.
      Abbildung : 2. Beispiel für eine von WildFire generierte PDF-Datei
      PDF-Beispielbericht

    WildFire: PCAP-Aktivität abrufen

    Die Workflow-Aktivität „WildFire: PCAP abrufen “ ruft die Paketerfassungsinformationen (PCAP) ab, die während der Analyse eines angegebenen Datei-Hashs in WildFire generiert wurden. Das Ergebnis dieser Aktivität wird an einen bestimmten Datensatz angehängt, der durch TableName und RecordIdidentifiziert wird.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    DateiSHA256Hash [Zeichenfolge] Der Hash der Datei, der von der Palo Alto Network Firewall-Anwendung empfangen wurde.
    Tabellenname [Zeichenfolge] Die betroffene Tabelle.
    RecordId [Zeichenfolge] Der Security Incident oder IoC, der aktualisiert wird.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    kommandierenStatus [Boolesch] „Wahr“, wenn ein Ergebnis abgerufen und erfolgreich angehängt wurde.
    errorMessage Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden.

    WildFire: Aktivität „PDF-Bericht abrufen“.

    Die Workflow-Aktivität „ WildFire: PDF-Bericht abrufen“ ruft den Bericht im PDF-Format ab, der während der Analyse eines angegebenen Datei-Hashs in WildFire generiert wurde. Das Ergebnis dieser Aktivität wird an einen bestimmten Datensatz angehängt, der durch TableName und RecordIdidentifiziert wird.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 3. Eingabevariablen
    Variable Beschreibung
    Tabellenname [Zeichenfolge] Die betroffene Tabelle.
    DateiSHA256Hash [Zeichenfolge] Der Hash der Datei, der von der Palo Alto Network Firewall-Anwendung empfangen wurde.
    RecordId [Zeichenfolge] Der Security Incident oder IoC, der aktualisiert wird.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 4. Ausgabevariablen
    Variable Beschreibung
    kommandierenStatus [Boolesch] „Wahr“, wenn ein Ergebnis abgerufen und erfolgreich angehängt wurde.
    errorMessage Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden.

    WildFire: Aktivität „XML-Bericht abrufen“.

    Die Workflow-Aktivität „ WildFire: XML-Bericht abrufen“ ruft den Bericht im XML-Format ab, der während der Analyse eines angegebenen Datei-Hashs in WildFire generiert wurde. Das Ergebnis dieser Aktivität wird an einen bestimmten Datensatz angehängt, der durch TableName und RecordIdidentifiziert wird.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 5. Eingabevariablen
    Variable Beschreibung
    Tabellenname [Zeichenfolge] Die betroffene Tabelle.
    DateiSHA256Hash [Zeichenfolge] Der Hash der Datei, der von der Palo Alto Network Firewall-Anwendung empfangen wurde.
    RecordId [Zeichenfolge] Der Security Incident oder IoC, der aktualisiert wird.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 6. Ausgabevariablen
    Variable Beschreibung
    kommandierenStatus [Boolesch] „Wahr“, wenn ein Ergebnis abgerufen und erfolgreich angehängt wurde.
    errorMessage Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden.