WildFire データ拡張フローを取得

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • [Security Operations Palo Alto Networks - WildFire データ拡張を取得] フローが実行されると、ハッシュファイルが WildFire にアップロードされます。データが拡張され、潜在的なマルウェア攻撃の処理に役立つレポートがインスタンスにダウンロードされます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    [Security Operations Palo Alto Networks - WildFire データ拡張を取得 (Security Operations Palo Alto Networks - Get WildFire Data Enrichment)] フローは、Palo Alto Network ファイアウォールアプリケーションから受信したアラートからセキュリティインシデントが作成されると実行されます。ファイアウォールから受信したメール通知のマルウェアハッシュがセキュリティインシデントの [IoC] タブに入力され、レコードが更新されます。
    図 : 1. [Security Operations Palo Alto Networks - WildFire データ拡張を取得] フロー
    WildFire データ拡張フロー

    手順

    1. 次のように移動する。 All (すべて) > セキュリティインシデント > オープンインシデントを表示.
    2. ファイアウォールから受信したメール通知に基づいて、作成されたセキュリティインシデントを見つけて開きます。
    3. [セキュリティ侵害のインジケーター] タブをクリックし、アラートで受信したハッシュを使用して [マルウェアのハッシュ] に入力します。
    4. [Update (更新)] をクリックします。
      フローにより、ハッシュファイルが WildFire にアップロードされ、そこでデータが拡張されます。潜在的なマルウェア攻撃の処理に役立つように、PDF および XML 形式のレポートがインスタンス内のレコード (セキュリティインシデントまたは IoC) に添付されます。
      注:
      拡張データにパケットキャプチャ情報が含まれている場合は、PCAP 情報もダウンロードされます。PCAP データは、ファイルが実行していたアクションをキャプチャします。たとえば、ファイルが接続しているサーバーを報告できます。PCAP ファイルを表示するには、Wireshark などのパケットアナライザーが必要です。
      図 : 2. Wildfire によって生成されたサンプル PDF
      サンプル PDF レポート

    WildFire:PCAP を取得アクション

    [WildFire:PCAP の取得] フローアクションは、WildFire で指定されたファイルハッシュの分析中に生成されたパケットキャプチャ (PCAP) 情報を取得します。このアクションの結果は、 TableNameRecordId で識別される特定のレコードに添付されます。

    入力変数

    アクションの初期動作が、入力変数によって決まります。

    表 : 1. 入力変数
    変数 説明
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    TableName [文字列] 影響を受けるテーブル。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。

    表 : 2. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクションで発生したエラー (ある場合)。

    [WildFire:PDF レポートを取得] アクション

    [WildFire:PDF レポートを取得] フローアクションは、WildFire で指定されたファイルハッシュの分析中に生成されたレポートを PDF 形式で取得します。このアクションの結果は、 TableNameRecordId で識別される特定のレコードに添付されます。

    入力変数

    アクションの初期動作が、入力変数によって決まります。

    表 : 3. 入力変数
    変数 説明
    TableName [文字列] 影響を受けるテーブル。
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。

    表 : 4. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクションで発生したエラー (ある場合)。

    [WildFire:XML レポートを取得] アクション

    [WildFire:XML レポートを取得] フローアクションは、WildFire で指定されたファイルハッシュの分析中に生成されたレポートを XML 形式で取得します。このアクションの結果は、 TableNameRecordId で識別される特定のレコードに添付されます。

    入力変数

    アクションの初期動作が、入力変数によって決まります。

    表 : 5. 入力変数
    変数 説明
    TableName [文字列] 影響を受けるテーブル。
    FileSHA256Hash [文字列] Palo Alto Network ファイアウォールアプリケーションから受信したファイルのハッシュ。
    RecordId [文字列] 更新されるセキュリティインシデントまたは IoC。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。

    表 : 6. 出力変数
    変数 説明
    commandStatus [ブール] 結果が正常に取得され、添付された場合は True。
    errorMessage アクションで発生したエラー (ある場合)。