Lorsque certaines applications et intégrations sont configurées, y compris Renseignements sur les menaces l’intégration, les informations sur les observables d’un Palo Alto Networks - Firewall incident de sécurité peuvent être automatiquement enrichies avec les données du journal des menaces chaque fois que l’adresse IP source de ses observables est modifiée.

Lorsqu’une modification se produit, une règle métier lance un workflow qui récupère les données des journaux de menaces sur votre pare-feu et enrichit les informations des observables dans l’incident de sécurité.

Une fois cette configuration terminée, le fait de modifier l’adresse IP source des observables associés à un incident de sécurité entraîne l’exécution par une règle métier du workflow Security Operations Palo Alto Networks - Get Log Data . Les activités du workflow mettent en file d’attente une requête de recherche sur le pare-feu et renvoient un ID de tâche qui est utilisé pour récupérer les données des journaux des menaces à partir du pare-feu et les joindre en tant que fichier XML à l’incident de sécurité.