Wenn bestimmte Anwendungen und Integrationen eingerichtet sind, einschließlich Threat Intelligence Und Palo Alto Networks – Firewall Integration: Informationen zu erkennbaren Elementen in einem Security Incident können automatisch mit Bedrohungsprotokolldaten ergänzt werden, wenn die Quell-IP für ihre erkennbaren Elemente geändert wird.

Wenn eine Änderung auftritt, initiiert eine Business-Regel einen Workflow, der Daten aus Bedrohungsprotokollen in Ihrer Firewall abruft und die Informationen erkennbarer Elemente im Security Incident ergänzt.

Nachdem dieses Setup abgeschlossen wurde, führt das Ändern der Quell-IP von erkennbaren Elementen, die einem Security Incident zugeordnet sind, dazu, dass eine Geschäftsregel ausgeführt wird Security Operations Palo Alto Networks – Protokolldaten Abrufen Workflow. Workflow-Aktivitäten stellen eine Suchabfrage in der Firewall in die Warteschlange und geben eine Auftrags-ID zurück, mit der Bedrohungsprotokolldaten aus der Firewall abgerufen und als XML-Datei an den Security Incident angehängt werden.