자동 포커스 세션 정보 가져오기 보강 플로우

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 2분

    • Security Operations Palo Alto Networks - Get AutoFocus Session Info Enrichment 플로우가 실행되면 지정된 소스 IP에 대한 정보를 수집하기 위해 AutoFocus를 사용하여 검색 쿼리를 큐에 대기합니다. AutoFocus에 해당 IP 주소에서 시작된 이전 세션에 대한 지식이 있는 경우 JSON 형식의 보고서가 반환됩니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    보안 운영 Palo Alto Networks - 자동 포커스 세션 정보 가져오기 보강 플로우는 보안 인시던트의 소스 IP 필드가 수정되고 기록이 업데이트될 때 실행됩니다. 플로우는 IP 주소를 가져오고 AutoFocus에 쿼리 요청을 제출합니다. AutoFocus가 이전에 IP 주소에서 시작된 세션을 식별한 경우 JSON 형식의 보고서가 반환됩니다.
    그림 1. 보안 운영 Palo Alto Networks - Wildfire 데이터 보강 플로우 가져오기
    자동 포커스 세션 플로우 가져오기

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 열린 인시던트 표시.
    2. Indicators of Compromise(침해 지표) 탭을 클릭하고 Source IP(소스 IP) 필드를 채웁니다.
    3. 업데이트를 클릭합니다.
      AutoFocus는 IP 주소에서 정보를 스캔하고 JSON 형식의 텍스트 파일이 보안 인시던트에 첨부됩니다.

      이 통합과 관련된 작업은 여기에 설명되어 있습니다. 다른 작업에 대한 자세한 내용은 다음 문서를 참조하십시오 일반 Security Operations 통합 플로우 및 오케스트레이션 활동.

    AutoFocus 검색 세션 작업

    AutoFocus 검색 세션 플로우 작업은 보안 인시던트에 할당된 IP 주소에서 AutoFocus로 정보를 업로드하고 검색 쿼리를 위해 큐에 대기시킵니다.

    입력 변수

    주:

    작업이 실행되면 지정된 소스 IP에 대한 정보를 수집하기 위해 AutoFocus를 사용하여 검색 쿼리를 큐에 대기합니다. AutoFocus가 이전에 해당 IP 주소에서 시작된 세션을 식별한 경우 JSON 형식의 보고서가 반환됩니다.

    입력 변수는 작업의 초기 동작을 결정합니다.

    표 1. 입력 변수
    변수 설명
    searchSessionQuery [문자열] 세션 정보에 대한 검색 쿼리입니다.

    검색 결과 가져오기 작업

    검색 결과 가져오기 플로우 작업은 쿠키로 식별된 검색 결과를 AutoFocus 검색 세션 작업으로 시작된 검색 쿼리로 가져옵니다.

    입력 변수

    입력 변수는 작업의 초기 동작을 결정합니다.

    표 2. 입력 변수
    변수 설명
    afcookie [문자열] 에 의해 AutoFocus 검색 세션 작업생성된 검색 요청에 대한 AutoFocus 쿠키입니다.

    출력 변수

    출력 변수에는 후속 작업에서 사용할 수 있는 데이터가 포함됩니다.

    표 3. 출력 변수
    변수 설명
    searchPending [부울] 검색 요청이 AutoFocus에서 계속 처리되는 경우 예입니다.
    결과 [string] 검색 결과 데이터입니다.
    status [부울] 검색이 완료되고 결과가 성공적으로 생성되면 True입니다.
    오류 [string] 작업에서 발생한 오류(있는 경우)입니다.