Rufen Sie den Flow zur Ergänzung von Informationen zur Autofokussitzung ab

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Wenn Palo-Alto-Netzwerke für Security Operations: Ergänzung von Informationen zur Autofokus-Sitzung abrufen Flow wird ausgeführt. Es wird eine Suchabfrage mit Autofokus in die Warteschlange gestellt, um Informationen zu einer angegebenen Quell-IP zu sammeln. Wenn der Autofokus über vorherige Sitzungen verfügt, die von dieser IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Palo-Alto-Netzwerke für Security Operations: Ergänzung von Informationen zur Autofokus-Sitzung abrufen Flow wird ausgeführt, wenn Quell-IP Das Feld in einem Security Incident wird geändert, und der Datensatz wird aktualisiert. Der Flow ruft die IP-Adresse ab und übermittelt eine Abfrageanforderung an den Autofokus. Wenn der Autofokus zuvor Sitzungen identifiziert hat, die von der IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.
    Abbildung : 1. Palo-Alto-Netzwerke Für Security Operations – Wildfire-Datenanreicherungs-Flow Abrufen
    Autofokus-Sitzungs-Flow abrufen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Offene Incidents anzeigenan.
    2. Klicken Sie auf Kompromittierungsindikatoren Und füllen Sie aus Quell-IP Feld.
    3. Klicken Sie auf Aktualisieren.
      Der Autofokus scannt die Informationen aus der IP-Adresse, und eine Textdatei im JSON-Format wird an den Security Incident angehängt.

      Aktionen, die für diese Integration spezifisch sind, werden hier beschrieben. Weitere Informationen zu anderen Aktionen finden Sie unter Integrations-Flows und Orchestration-Aktivitäten für allgemeine Sicherheitsvorgänge.

    Aktion für Autofokus-Suchsitzung

    Die Autofokus-Suchsitzung Die Flow-Aktion lädt Informationen aus einer IP-Adresse hoch, die einem Security Incident zugewiesen ist, um den Autofokus zu aktivieren, und stellt sie für eine Suchabfrage in die Warteschlange.

    Eingabevariablen

    Hinweis:

    Wenn die Aktion ausgeführt wird, wird eine Suchabfrage mit Autofokus in die Warteschlange gestellt, um Informationen für eine angegebene Quell-IP zu sammeln. Wenn der Autofokus zuvor Sitzungen identifiziert hat, die von dieser IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    SearchSessionQuery [Zeichenfolge] Die Suchabfrage für Sitzungsinformationen.

    Aktion „Suchergebnisse“ abrufen

    Die Suchergebnisse Abrufen Die Flow-Aktion ruft durch ein Cookie identifizierte Suchergebnisse an die von initiierte Suchabfrage ab Autofokus-Suchsitzung Aktion.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 2. Eingabevariablen
    Variable Beschreibung
    Afcookie [Zeichenfolge] Das Autofokus-Cookie für die von generierte Suchanforderung Aktion für Autofokus-Suchsitzung.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können.

    Tabelle : 3. Ausgabevariablen
    Variable Beschreibung
    SearchAusstehend [boolescher Wert] „Wahr“, wenn die Suchanforderung noch im Autofokus verarbeitet wird.
    Ergebnis [Zeichenfolge] Die Suchergebnisdaten.
    Status [boolescher Wert] „Wahr“, wenn die Suche abgeschlossen ist und Ergebnisse erfolgreich generiert wurden.
    Fehler [Zeichenfolge] Der Fehler, falls vorhanden, der in der Aktion aufgetreten ist.