Wildfire-Datenanreicherungs-Flow abrufen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Wenn Security Operations Palo Alto Networks – Wildfire-Datenanreicherung abrufen Flow wird ausgeführt, eine Hash-Datei wird in Wildfire hochgeladen. Die Daten werden angereichert, und Berichte werden in die Instanz heruntergeladen, um potenzielle Malware-Angriffe zu verarbeiten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Security Operations Palo Alto Networks – Wildfire-Datenanreicherung abrufen Flow wird ausgeführt, wenn ein Security Incident aus einer Warnung erstellt wird, die von der Palo Alto Network Firewall-Anwendung empfangen wurde. Ein Malware-Hash aus der von der Firewall empfangenen E-Mail-Benachrichtigung wird in eingegeben IOC Registerkarte des Security Incident, und der Datensatz wird aktualisiert.
    Abbildung : 1. Security Operations Palo Alto Networks – Flow zur Datenanreicherung von Wildfire abrufen
    Wildfire-Datenanreicherungs-Flow

    Prozedur

    1. Navigieren zu Alle > Security Incident > Offene Incidents anzeigenan.
    2. Suchen und öffnen Sie basierend auf der von der Firewall empfangenen E-Mail-Benachrichtigung den erstellten Security Incident.
    3. Klicken Sie auf Kompromittierungsindikatoren Registerkarte und füllen Sie aus Malware-Hash Mit dem Hash, den Sie in der Warnung erhalten haben.
    4. Klicken Sie auf Aktualisieren.
      Der Flow bewirkt, dass die Hash-Datei in Wildfire hochgeladen wird, wo die Daten angereichert werden. Berichte im PDF- und XML-Format werden an den Datensatz (Security Incident oder IOC) in Ihrer Instanz angehängt, um potenzielle Malware-Angriffe zu verarbeiten.
      Hinweis:
      Wenn die angereicherten Daten Informationen zur Paketerfassung enthalten, werden auch PCAP-Informationen heruntergeladen. PCAP-Daten erfassen, welche Aktionen die Datei ausgeführt hat. Zum Beispiel kann er melden, welche Server die Datei kontaktiert hat. Zum Anzeigen von PCAP-Dateien benötigen Sie eine Paketanalyse, z. B. Wireshark .
      Abbildung : 2. Beispiel-PDF, die von Wildfire generiert wurde
      Beispiel für einen PDF-Bericht

    Wildfire: PCAP-Aktion abrufen

    Die Wildfire: PCAP abrufen Die Flow-Aktion ruft die PCAP-Informationen (Packet Capture) ab, die während der Analyse eines angegebenen Datei-Hash in Wildfire generiert wurden. Das Ergebnis dieser Aktion wird an einen bestimmten Datensatz angehängt, wie von identifiziert Tabellenname Und Record-ID .

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    FileSHA256Hash [Zeichenfolge] Der Hash der Datei, die von der Palo Alto Network Firewall-Anwendung empfangen wurde.
    Tabellenname [Zeichenfolge] Die betroffene Tabelle.
    Record-ID [Zeichenfolge] Der Security Incident oder IOC, der aktualisiert wird.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    CommandStatus [Boolesch] „Wahr“, wenn ein Ergebnis erfolgreich abgerufen und angehängt wird.
    errorMessage Der Fehler, falls vorhanden, der in der Aktion aufgetreten ist.

    Wildfire: Aktion zum Abrufen des PDF-Berichts

    Die Wildfire: PDF-Bericht abrufen Die Flow-Aktion ruft den während der Analyse eines angegebenen Datei-Hash in Wildfire generierten Bericht im PDF-Format ab. Das Ergebnis dieser Aktion wird an einen bestimmten Datensatz angehängt, wie von identifiziert Tabellenname Und Record-ID .

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 3. Eingabevariablen
    Variable Beschreibung
    Tabellenname [Zeichenfolge] Die betroffene Tabelle.
    FileSHA256Hash [Zeichenfolge] Der Hash der Datei, die von der Palo Alto Network Firewall-Anwendung empfangen wurde.
    Record-ID [Zeichenfolge] Der Security Incident oder IOC, der aktualisiert wird.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können.

    Tabelle : 4. Ausgabevariablen
    Variable Beschreibung
    CommandStatus [Boolesch] „Wahr“, wenn ein Ergebnis erfolgreich abgerufen und angehängt wird.
    errorMessage Der Fehler, falls vorhanden, der in der Aktion aufgetreten ist.

    Wildfire: XML-Berichtsaktion abrufen

    Die Wildfire: XML-Bericht abrufen Die Flow-Aktion ruft den Bericht ab, der während der Analyse eines angegebenen Datei-Hash in Wildfire im XML-Format generiert wurde. Das Ergebnis dieser Aktion wird an einen bestimmten Datensatz angehängt, wie von identifiziert Tabellenname Und Record-ID .

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 5. Eingabevariablen
    Variable Beschreibung
    Tabellenname [Zeichenfolge] Die betroffene Tabelle.
    FileSHA256Hash [Zeichenfolge] Der Hash der Datei, die von der Palo Alto Network Firewall-Anwendung empfangen wurde.
    Record-ID [Zeichenfolge] Der Security Incident oder IOC, der aktualisiert wird.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können.

    Tabelle : 6. Ausgabevariablen
    Variable Beschreibung
    CommandStatus [Boolesch] „Wahr“, wenn ein Ergebnis erfolgreich abgerufen und angehängt wird.
    errorMessage Der Fehler, falls vorhanden, der in der Aktion aufgetreten ist.