Obtenir le flux d’enrichissement des données WildFire

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Lorsque le flux Security Operations Palo Alto Networks - Get WildFire Data Enrichment est exécuté, un fichier de hachage est téléchargé dans WildFire. Les données sont enrichies et les rapports sont téléchargés vers l’instance pour faciliter le traitement des attaques potentielles de logiciels malveillants.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Le flux Security Operations Palo Alto Networks - Get WildFire Data Enrichment est exécuté lorsqu’un incident de sécurité est créé à partir d’une alerte reçue de l’application Palo Alto Network Firewall. Un hachage de programme malveillant à partir de la notification par e-mail reçue du pare-feu est saisi dans l’onglet IoC de l’incident de sécurité et l’enregistrement est mis à jour.
    Figure 1. Security Operations Palo Alto Networks : obtenir le flux d’enrichissement des données WildFire
    Flux d’enrichissement des données WildFire

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents ouverts.
    2. En fonction de la notification par e-mail reçue du pare-feu, localisez et ouvrez l’incident de sécurité qui a été créé.
    3. Cliquez sur l’onglet Indicateurs de compromission et renseignez le hachage de programme malveillant avec le hachage que vous avez reçu dans l’alerte.
    4. Cliquez sur Mettre à jour.
      Le flux entraîne le chargement du fichier de hachage vers WildFire où les données sont enrichies. Les rapports aux formats PDF et XML sont joints à l’enregistrement (incident de sécurité ou IoC) dans votre instance pour faciliter le traitement des attaques potentielles de programmes malveillants.
      Remarque :
      Si les données enrichies incluent des informations de capture de paquets, les informations PCAP sont également téléchargées. Les données PCAP capturent les actions effectuées par le fichier. Par exemple, il peut signaler les serveurs contactés par le fichier. Pour afficher les fichiers PCAP, vous avez besoin d’un analyseur de paquets, tel que Wireshark.
      Figure 2. Exemple de PDF généré par Wildfire
      Exemple de rapport PDF

    WildFire : obtenir l’action PCAP

    L’action WildFire : Obtenir le flux PCAP récupère les informations de capture de paquets (PCAP) générées lors de l’analyse d’un hachage de fichier spécifié sur WildFire. Le résultat de cette action est attaché à un enregistrement spécifique tel qu’identifié par le TableName et le RecordId.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 1. Variables d'entrée
    Variable Description
    FileSHA256Hash [chaîne] Hachage du fichier reçu de l’application Palo Alto Network Firewall.
    Nom de table [chaîne] La table affectée.
    RecordId [chaîne] L’incident de sécurité ou l’IoC en cours de mise à jour.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes.

    Tableau 2. Variables de sortie
    Variable Description
    commandStatus [booléen] Vrai si un résultat est obtenu et joint avec succès.
    errorMessage L’erreur, le cas échéant, qui s’est produite dans l’action.

    WildFire : action de rapport PDF

    L’action de flux WildFire : obtenir un rapport PDF obtient le rapport généré lors de l’analyse d’un hachage de fichier spécifié sur WildFire au format PDF. Le résultat de cette action est attaché à un enregistrement spécifique tel qu’identifié par le TableName et le RecordId.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 3. Variables d'entrée
    Variable Description
    Nom de table [chaîne] La table affectée.
    FileSHA256Hash [chaîne] Hachage du fichier reçu de l’application Palo Alto Network Firewall.
    RecordId [chaîne] L’incident de sécurité ou l’IoC en cours de mise à jour.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes.

    Tableau 4. Variables de sortie
    Variable Description
    commandStatus [booléen] Vrai si un résultat est obtenu et joint avec succès.
    errorMessage L’erreur, le cas échéant, qui s’est produite dans l’action.

    WildFire : action de rapport XML d’obtention

    L’action de flux WildFire : obtenir un rapport XML obtient le rapport généré lors de l’analyse d’un hachage de fichier spécifié sur WildFire au format XML. Le résultat de cette action est attaché à un enregistrement spécifique tel qu’identifié par le TableName et le RecordId.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 5. Variables d'entrée
    Variable Description
    Nom de table [chaîne] La table affectée.
    FileSHA256Hash [chaîne] Hachage du fichier reçu de l’application Palo Alto Network Firewall.
    RecordId [chaîne] L’incident de sécurité ou l’IoC en cours de mise à jour.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes.

    Tableau 6. Variables de sortie
    Variable Description
    commandStatus [booléen] Vrai si un résultat est obtenu et joint avec succès.
    errorMessage L’erreur, le cas échéant, qui s’est produite dans l’action.