Abrufen des Autofokus-Sitzungsinformationsanreicherungs-Flows

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Wenn Security Operations Palo Alto Networks: Ergänzung der Autofokus-Sitzungsinformationen abrufen Flow wird ausgeführt. Er stellt eine Suchabfrage mit Autofokus in die Warteschlange, um Informationen zu einer angegebenen Quell-IP zu sammeln. Wenn der Autofokus über vorherige Sitzungen verfügt, die von dieser IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Security Operations Palo Alto Networks: Ergänzung der Autofokus-Sitzungsinformationen abrufen Flow wird ausgeführt, wenn Quell-IP Das Feld in einem Security Incident wird geändert, und der Datensatz wird aktualisiert. Der Flow ruft die IP-Adresse ab und sendet eine Abfrageanforderung an den Autofokus. Wenn der Autofokus zuvor Sitzungen identifiziert hat, die von der IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.
    Abbildung : 1. Security Operations Palo Alto Networks – Flow Zur Datenanreicherung Von Wildfire Abrufen
    Autofokus-Sitzungs-Flow abrufen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Offene Incidents anzeigenan.
    2. Klicken Sie auf Kompromittierungsindikatoren Registerkarte und füllen Sie aus Quell-IP Feld.
    3. Klicken Sie auf Aktualisieren.
      Der Autofokus scannt die Informationen aus der IP-Adresse, und eine Textdatei im JSON-Format wird an den Security Incident angehängt.

      Aktionen, die für diese Integration spezifisch sind, werden hier beschrieben. Weitere Informationen zu anderen Aktionen finden Sie unter Allgemeine Security Operations-Integrations-Flows und Orchestration-Aktivitäten.

    Aktion für Autofokus-Suchsitzung

    Die Autofokus-Suchsitzung Die Flow-Aktion lädt Informationen aus einer IP-Adresse hoch, die einem Security Incident zugewiesen ist, um den Autofokus zu aktivieren, und stellt sie für eine Suchabfrage in die Warteschlange.

    Eingabevariablen

    Hinweis:

    Wenn die Aktion ausgeführt wird, wird eine Suchabfrage mit Autofokus in die Warteschlange gestellt, um Informationen für eine angegebene Quell-IP zu sammeln. Wenn der Autofokus zuvor Sitzungen identifiziert hat, die von dieser IP-Adresse stammen, wird ein JSON-formatierter Bericht zurückgegeben.

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    SearchSessionQuery [Zeichenfolge] Die Suchabfrage für Sitzungsinformationen.

    Aktion „Suchergebnisse“ abrufen

    Die Suchergebnisse Abrufen Flow-Aktion ruft Suchergebnisse ab, die durch ein Cookie identifiziert wurden, an die von initiierte Suchabfrage Autofokus-Suchsitzung Aktion.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 2. Eingabevariablen
    Variable Beschreibung
    Afcookie [Zeichenfolge] Das Autofokus-Cookie für die von generierte Suchanforderung Aktion für Autofokus-Suchsitzung.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können.

    Tabelle : 3. Ausgabevariablen
    Variable Beschreibung
    SearchAusstehend [Boolesch] „Wahr“, wenn die Suchanforderung im Autofokus noch verarbeitet wird.
    Ergebnis [Zeichenfolge] Die Suchergebnisdaten.
    Status [boolescher Wert] „Wahr“, wenn die Suche abgeschlossen ist und Ergebnisse erfolgreich generiert wurden.
    Fehler [Zeichenfolge] Der Fehler, falls vorhanden, der in der Aktion aufgetreten ist.