WildFire 데이터 보강 가져오기 워크플로우

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • Security Operations Palo Alto Networks - WildFire 데이터 보강 가져오기 워크플로우가 실행되면 해시 파일이 WildFire에 업로드됩니다. 데이터가 보강되고 보고서가 인스턴스에 다운로드되어 잠재적인 맬웨어 공격을 처리하는 데 도움이 됩니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    Security Operations Palo Alto Networks - WildFire 데이터 보강 가져오기 워크플로우는 Palo Alto Network Firewall 애플리케이션에서 받은 경보에서 보안 인시던트가 생성될 때 실행됩니다. 방화벽에서 받은 이메일 알림의 맬웨어 해시가 보안 인시던트의 IoC 탭에 입력되고 기록이 업데이트됩니다.
    그림 1. Security Operations Palo Alto Networks - WildFire 데이터 보강 워크플로우 가져오기
    Wildfire 데이터 보강 워크플로우

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 미해결 인시던트 표시레이블이 표시됩니다.
    2. 방화벽에서 받은 이메일 알림에 따라 생성된 보안 인시던트를 찾아 엽니다.
    3. Indicators of Compromise(손상 지표) 탭을 클릭하고 맬웨어 해시를 경고에서 받은 해시로 채웁니다.
    4. 업데이트를 클릭합니다.
      워크플로우를 통해 해시 파일이 WildFire에 업로드되어 데이터가 보강됩니다. PDF 및 XML 형식의 보고서는 인스턴스의 기록(보안 인시던트 또는 IoC)에 첨부되어 잠재적인 맬웨어 공격을 처리하는 데 도움이 됩니다.
      주:
      보강된 데이터에 패킷 캡처 정보가 포함된 경우 PCAP 정보도 다운로드됩니다. PCAP 데이터는 파일이 수행 중인 작업을 캡처합니다. 예를 들어 파일이 연결 중인 서버에 대해 보고할 수 있습니다. PCAP 파일을 보려면 Wireshark와 같은 패킷 분석기가 필요합니다.
      그림 2. Wildfire에서 생성된 샘플 PDF
      샘플 PDF 보고서

    WildFire- PCAP 활동 가져오기

    WildFire: PCAP 가져오기 워크플로우 활동은 WildFire에서 지정된 파일 해시를 분석하는 동안 생성된 패킷 캡처(PCAP) 정보를 가져옵니다. 이 활동의 결과는 TableNameRecordId로 식별되는 특정 레코드에 첨부됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 1. 입력 변수
    변수 설명
    FileSHA256Hash [문자열] Palo Alto Network Firewall 애플리케이션에서 받은 파일의 해시입니다.
    TableName [문자열] 영향을 받는 테이블입니다.
    RecordId [문자열] 업데이트 중인 보안 인시던트 또는 IoC입니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.

    표 2. 출력 변수
    변수 설명
    commandStatus [부울] 결과를 성공적으로 가져와서 첨부하면 True입니다.
    errorMessage 활동에서 발생한 오류입니다(있는 경우).

    WildFire- PDF 보고서 활동 가져오기

    WildFire: PDF 보고서 가져오기 워크플로우 활동은 WildFire에서 지정된 파일 해시를 분석하는 동안 생성된 보고서를 PDF 형식으로 가져옵니다. 이 활동의 결과는 TableNameRecordId로 식별되는 특정 레코드에 첨부됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 3. 입력 변수
    변수 설명
    TableName [문자열] 영향을 받는 테이블입니다.
    FileSHA256Hash [문자열] Palo Alto Network Firewall 애플리케이션에서 받은 파일의 해시입니다.
    RecordId [문자열] 업데이트 중인 보안 인시던트 또는 IoC입니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.

    표 4. 출력 변수
    변수 설명
    commandStatus [부울] 결과를 성공적으로 가져와서 첨부하면 True입니다.
    errorMessage 활동에서 발생한 오류입니다(있는 경우).

    WildFire- XML 보고서 가져오기 활동

    WildFire: XML 보고서 가져오기 워크플로우 활동은 WildFire에서 지정된 파일 해시를 분석하는 동안 생성된 보고서를 XML 형식으로 가져옵니다. 이 활동의 결과는 TableNameRecordId로 식별되는 특정 레코드에 첨부됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 5. 입력 변수
    변수 설명
    TableName [문자열] 영향을 받는 테이블입니다.
    FileSHA256Hash [문자열] Palo Alto Network Firewall 애플리케이션에서 받은 파일의 해시입니다.
    RecordId [문자열] 업데이트 중인 보안 인시던트 또는 IoC입니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.

    표 6. 출력 변수
    변수 설명
    commandStatus [부울] 결과를 성공적으로 가져와서 첨부하면 True입니다.
    errorMessage 활동에서 발생한 오류입니다(있는 경우).

    첨부 파일 활동으로 기록할 컨텐츠 쓰기

    이 활동은 입력에서 전달된 컨텐츠를 쓰고 지정된 첨부 파일을 지정된 기록에 생성합니다.

    첨부 파일로 기록할 컨텐츠 쓰기 활동은 모든 워크플로우와 함께 컨텐츠를 작성하고 기록에 첨부하는 데 사용할 수 있습니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 7. 입력 변수
    변수 설명
    tableName [문자열] 기록의 테이블 이름입니다. 이 입력 필드는 필수입니다.
    sysid [문자열] 작업 기록의 시스템 식별자(sys_id)입니다. 이 입력 필드는 필수입니다.
    페이로드 첨부 파일로 작성할 일반 텍스트 컨텐츠입니다. 이 입력 필드는 필수입니다.
    파일 이름 첨부 파일 이름입니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.

    표 8. 출력 변수
    변수 설명
    결과 [string] 업데이트가 성공했는지 여부를 나타냅니다.