[WildFire データ拡張の取得 (Get WildFire Data Enrichment)] ワークフロー

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • [Security Operations Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get WildFire Data Enrichment)] ワークフローが実行されると、ハッシュファイルが WildFire にアップロードされます。データが拡張され、潜在的なマルウェア攻撃の処理に役立つレポートがインスタンスにダウンロードされます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    [Security Operations Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get WildFire Data Enrichment)] ワークフローは、Palo Alto Networks ファイアウォールアプリケーションから受信したアラートからセキュリティインシデントが作成されたときに実行されます。ファイアウォールから受信したメール通知のマルウェアハッシュがセキュリティインシデントの [IoC] タブに入力され、レコードが更新されます。
    図 : 1. [Security Operations Palo Alto Networks - WildFire データ拡張の取得 (Security Operations Palo Alto Networks - Get WildFire Data Enrichment)] ワークフロー
    WildFire データ拡張ワークフロー

    手順

    1. 移動先 すべて > セキュリティインシデント > オープンインシデントを表示.
    2. ファイアウォールから受信したメール通知に基づいて、作成されたセキュリティインシデントを見つけて開きます。
    3. [セキュリティ侵害のインジケーター] タブをクリックし、アラートで受信したハッシュを使用して [マルウェアのハッシュ] に入力します。
    4. [更新] をクリックします。
      ワークフローにより、データが拡張される WildFire にハッシュファイルがアップロードされます。潜在的なマルウェア攻撃の処理に役立つように、PDF および XML 形式のレポートがインスタンス内のレコード (セキュリティインシデントまたは IoC) に添付されます。
      注:
      拡張データにパケットキャプチャ情報が含まれている場合は、PCAP 情報もダウンロードされます。PCAP データは、ファイルが実行していたアクションをキャプチャします。たとえば、ファイルが接続しているサーバーを報告できます。PCAP ファイルを表示するには、Wireshark などのパケットアナライザーが必要です。
      図 : 2. Wildfire によって生成されたサンプル PDF
      サンプル PDF レポート

    [WildFire:PCAP を取得] アクティビティ

    [WildFire:PCAP を取得] ワークフローアクティビティは、WildFire で指定されたファイルハッシュの分析中に生成されたパケットキャプチャ (PCAP) 情報を取得します。このアクティビティの結果は、TableNameRecordId で識別される特定のレコードに添付されます。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 1. 入力変数
    変数 説明
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    TableName [文字列] 影響を受けるテーブル。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 2. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクティビティで発生したエラー (ある場合)。

    [WildFire:PDF レポートを取得] アクティビティ

    [WildFire:PDF レポートを取得] ワークフローアクティビティは、WildFire で指定されたファイルハッシュの分析中に生成されたレポートを PDF 形式で取得します。このアクティビティの結果は、TableNameRecordId で識別される特定のレコードに添付されます。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 3. 入力変数
    変数 説明
    TableName [文字列] 影響を受けるテーブル。
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 4. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクティビティで発生したエラー (ある場合)。

    [WildFire:XML レポートを取得] アクティビティ

    [WildFire:XML レポートを取得] ワークフローアクティビティは、WildFire で指定されたファイルハッシュの分析中に生成されたレポートを XML 形式で取得します。このアクティビティの結果は、TableNameRecordId で識別される特定のレコードに添付されます。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 5. 入力変数
    変数 説明
    TableName [文字列] 影響を受けるテーブル。
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 6. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクティビティで発生したエラー (ある場合)。