WildFire 데이터 보강 플로우 가져오기

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • Security Operations Palo Alto Networks - Get WildFire Data Enrichment 플로우가 실행되면 해시 파일이 WildFire에 업로드됩니다. 데이터가 보강되고 잠재적인 맬웨어 공격을 처리하는 데 도움이 되도록 보고서가 인스턴스에 다운로드됩니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    보안 운영 Palo Alto Networks - WildFire 데이터 보강 가져오기 플로우는 Palo Alto Network Firewall 애플리케이션에서 수신한 경보로 인해 보안 인시던트가 생성될 때 실행됩니다. 방화벽에서 받은 이메일 알림의 맬웨어 해시가 보안 인시던트의 IoC 탭에 입력되고 기록이 업데이트됩니다.
    그림 1. 보안 운영 Palo Alto Networks - WildFire 데이터 보강 플로우 가져오기
    산불 데이터 보강 플로우

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 열린 인시던트 표시.
    2. 방화벽에서 받은 이메일 알림에 따라 생성된 보안 인시던트를 찾아 엽니다.
    3. 침해 표시기 탭을 클릭하고 맬웨어 해시를 경보에서 받은 해시로 채웁니다.
    4. 업데이트를 클릭합니다.
      플로우로 인해 해시 파일이 데이터가 보강되는 WildFire에 업로드됩니다. PDF 및 XML 형식의 보고서는 잠재적인 맬웨어 공격을 처리하는 데 도움이 되도록 인스턴스의 기록(보안 인시던트 또는 IoC)에 첨부됩니다.
      주:
      보강된 데이터에 패킷 캡처 정보가 포함된 경우 PCAP 정보도 다운로드됩니다. PCAP 데이터는 파일이 수행한 작업을 캡처합니다. 예를 들어 파일이 연결된 서버를 보고할 수 있습니다. PCAP 파일을 보려면 Wireshark와 같은 패킷 분석기가 필요합니다.
      그림 2. Wildfire에서 생성된 샘플 PDF
      샘플 PDF 보고서

    WildFire - PCAP 작업 가져오기

    WildFire: Get PCAP 플로우 작업은 WildFire에서 지정된 파일 해시를 분석하는 동안 생성된 PCAP(패킷 캡처) 정보를 가져옵니다. 이 작업의 결과는 TableNameRecordId로 식별되는 특정 기록에 첨부됩니다.

    입력 변수

    입력 변수는 작업의 초기 동작을 결정합니다.

    표 1. 입력 변수
    변수 설명
    FileSHA256Hash [문자열] Palo Alto Network Firewall 애플리케이션에서 받은 파일의 해시입니다.
    테이블 이름 [문자열] 영향을 받는 테이블입니다.
    RecordId [문자열] 업데이트 중인 보안 인시던트 또는 IoC입니다.

    출력 변수

    출력 변수에는 후속 작업에서 사용할 수 있는 데이터가 포함됩니다.

    표 2. 출력 변수
    변수 설명
    commandStatus [부울] 결과를 성공적으로 가져와서 첨부하면 True입니다.
    errorMessage 작업에서 발생한 오류(있는 경우)입니다.

    WildFire - PDF 보고서 작업 가져오기

    WildFire: PDF 보고서 가져오기 플로우 작업은 WildFire에서 지정된 파일 해시를 분석하는 동안 생성된 보고서를 PDF 형식으로 가져옵니다. 이 작업의 결과는 TableNameRecordId로 식별되는 특정 기록에 첨부됩니다.

    입력 변수

    입력 변수는 작업의 초기 동작을 결정합니다.

    표 3. 입력 변수
    변수 설명
    테이블 이름 [문자열] 영향을 받는 테이블입니다.
    FileSHA256Hash [문자열] Palo Alto Network Firewall 애플리케이션에서 받은 파일의 해시입니다.
    RecordId [문자열] 업데이트 중인 보안 인시던트 또는 IoC입니다.

    출력 변수

    출력 변수에는 후속 작업에서 사용할 수 있는 데이터가 포함됩니다.

    표 4. 출력 변수
    변수 설명
    commandStatus [부울] 결과를 성공적으로 가져와서 첨부하면 True입니다.
    errorMessage 작업에서 발생한 오류(있는 경우)입니다.

    WildFire - XML 보고서 작업 가져오기

    WildFire: XML 보고서 가져오기 플로우 작업은 WildFire에서 지정된 파일 해시를 분석하는 동안 생성된 보고서를 XML 형식으로 가져옵니다. 이 작업의 결과는 TableNameRecordId로 식별되는 특정 기록에 첨부됩니다.

    입력 변수

    입력 변수는 작업의 초기 동작을 결정합니다.

    표 5. 입력 변수
    변수 설명
    테이블 이름 [문자열] 영향을 받는 테이블입니다.
    FileSHA256Hash [문자열] Palo Alto Network Firewall 애플리케이션에서 받은 파일의 해시입니다.
    RecordId [문자열] 업데이트 중인 보안 인시던트 또는 IoC입니다.

    출력 변수

    출력 변수에는 후속 작업에서 사용할 수 있는 데이터가 포함됩니다.

    표 6. 출력 변수
    변수 설명
    commandStatus [부울] 결과를 성공적으로 가져와서 첨부하면 True입니다.
    errorMessage 작업에서 발생한 오류(있는 경우)입니다.