AutoFocus 세션 정보 보강 가져오기 워크플로우
Security Operations Palo Alto Networks - AutoFocus 세션 정보 보강 가져오기 워크플로우가 실행되면 지정된 소스 IP에 대한 정보를 수집하기 위해 AutoFocus를 사용하여 검색 쿼리를 대기열에 넣습니다. AutoFocus가 해당 IP 주소에서 시작된 이전 세션에 대한 정보를 가지고 있는 경우 JSON 형식의 보고서가 반환됩니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
프로시저
AutoFocus 검색 세션 활동
AutoFocus 검색 세션 워크플로우 활동은 보안 인시던트에 할당된 IP 주소의 정보를 AutoFocus에 업로드하고 검색 쿼리를 위해 큐에 넣습니다.
입력 변수
활동이 실행되면 지정된 소스 IP에 대한 정보를 수집하기 위해 AutoFocus를 사용하여 검색 쿼리를 대기열에 넣습니다. AutoFocus가 이전에 해당 IP 주소에서 시작된 세션을 식별한 경우 JSON 형식의 보고서가 반환됩니다.
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| searchSessionQuery [문자열] | 세션 정보를 검색하는 쿼리입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| requestStatus [부울] | 검색 쿼리가 AutoFocus에서 실행되도록 예약된 경우 True입니다. |
| error [문자열] | 활동에서 발생한 오류입니다(있는 경우). |
| afcookie [문자열] | 검색 결과를 검색하는 데 사용하는 AutoFocus 검색 쿼리의 식별자입니다 검색 결과 활동 가져오기 . |
검색 결과 활동 가져오기
검색 결과 가져오기 워크플로우 활동은 쿠키로 식별된 검색 결과를 AutoFocus 검색 세션 활동에서 시작한 검색 쿼리로 가져옵니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| afcookie [문자열] | 에 의해 생성된 검색 요청에 대한 AutoFocus 쿠키입니다 AutoFocus 검색 세션 활동. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| searchPending [부울] | 검색 요청이 AutoFocus에서 계속 처리 중이면 True입니다. |
| 결과 [string] | 검색 결과 데이터입니다. |
| status [부울] | 검색이 완료되고 결과가 성공적으로 생성된 경우 True입니다. |
| error [문자열] | 활동에서 발생한 오류입니다(있는 경우). |
첨부 파일 활동으로 기록할 컨텐츠 쓰기
이 활동은 입력에서 전달된 컨텐츠를 쓰고 지정된 첨부 파일을 지정된 기록에 생성합니다.
첨부 파일로 기록할 컨텐츠 쓰기 활동은 모든 워크플로우와 함께 컨텐츠를 작성하고 기록에 첨부하는 데 사용할 수 있습니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| tableName [문자열] | 기록의 테이블 이름입니다. 이 입력 필드는 필수입니다. |
| sysid [문자열] | 작업 기록의 시스템 식별자(sys_id)입니다. 이 입력 필드는 필수입니다. |
| 페이로드 | 첨부 파일로 작성할 일반 텍스트 컨텐츠입니다. 이 입력 필드는 필수입니다. |
| 파일 이름 | 첨부 파일 이름입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| 결과 [string] | 업데이트가 성공했는지 여부를 나타냅니다. |