Security Operations Palo Alto Networks - 값 확인 및 차단 워크플로우

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기7분

    • 잠재적인 위협을 식별하기 위해 보안 인시던트가 생성되고 분류될 때 Security Operations Palo Alto Networks - 값 확인 및 차단 워크플로우를 사용하여 에 정의된 Palo Alto Networks - Firewall외부 동적 목록을 사용하여 IP 주소, URL 및 도메인을 자동으로 확인하고 업데이트할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    방화벽 차단 요청이 제출되면 Security Operations Palo Alto Networks - 값 확인 및 차단 워크플로우가 실행됩니다. 차단 요청은 사용할 방화벽, 확인 및 차단할 옵저버블 유형(필요한 경우) 및 차단 값을 지정합니다. 즉, 해당 IP 주소, URL 또는 도메인입니다.

    워크플로우 실행 중에 아래에 정의된 명령 Palo Alto Networks 통합 > 방화벽 > 명령 실행됩니다. Show type 명령(예: Show-IP-ExternalDynamicList)은 값이 방화벽에 있는지 여부를 결정합니다. 새로 고침 유형 명령(예: Refresh-IP-ExternalDynamicList)은 방화벽에 존재하지 않는 값을 차단 목록에 추가합니다.

    차단 상태 활동이 실행된 후에는 시스템 관리자의 승인이 있어야 워크플로우를 진행할 수 있습니다.

    그림 1. Security Operations Palo Alto Networks - 값 확인 및 차단 워크플로우
    Palo Alto Networks 방화벽 - 확인 및 차단 워크플로우

    프로시저

    1. 다음으로 이동 Palo Alto Networks 통합 > 방화벽 > 블록 요청레이블이 표시됩니다.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 적절히 입력합니다.
      필드 설명
      방화벽 사용할 방화벽을 선택합니다.
      블록 유형 확인할 값의 유형을 선택합니다.
      • IP
      • URL
      • DOMAIN
      블록 값 방화벽에서 확인할 선택한 유형의 값을 입력합니다.
    4. 제출을 클릭합니다.

    Palo Alto 방화벽 - 요청 상태 활동 차단

    이 활동은 방화벽 차단 요청 상태를 성공 또는 실패로 설정하기 위해 다른 활동에 의해 호출됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 1. 입력 변수
    변수 설명
    firewallBlockRequestSysid [문자열] 방화벽 차단 요청의 시스템 ID입니다. 이 입력 변수는 필수입니다.
    status [ 문자열 ] 새로 고침 작업의 성공 또는 실패 여부를 나타냅니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 2. 출력 변수
    변수 설명
    결과 [string] 새로 고침 작업의 성공 또는 실패 여부를 나타냅니다.

    Palo Alto 방화벽 - 블록 값 활동

    워크플로우가 방화벽에 없는 값을 식별하면 해당 기록은 승인을 위해 라우팅됩니다. 승인 시 이 활동은 SSH 자격 증명을 통해 MID Server에 연결하고 방화벽 외부 차단 목록에 값을 추가하는 스크립트를 호출합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.
    주:
    이 활동에 대한 입력 변수를 수동으로 입력한 다음 워크플로우를 게시해야 합니다. 워크플로우가 게시되지 않으면 비관리자 사용자에 대한 입력 변수가 저장되지 않습니다.
    표 3. 입력 변수
    변수 설명
    toBeBlockedValue [문자열] 아직 없는 경우 EDL에 추가할 값입니다. 이 입력 변수는 필수입니다.
    typeToBeBlocked [문자열] 차단할 값의 유형(IP, URL 또는 도메인)입니다. 이 입력 변수는 필수입니다.
    targetHost [문자열] 스크립트가 실행되는 MID Server입니다.
    SSHCredentialTag [문자열] MID Server에 정의된 SSH 자격 증명 태그입니다.
    scriptCommand [문자열] EDL에 값을 추가하는 데 사용되는 AppendValueToList.sh 스크립트입니다. MID Server에 대한 전체 경로가 필요합니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.

    표 4. 출력 변수
    변수 설명
    결과 [string] 결과는 EDL에 전달됩니다.

    Palo Alto 방화벽 - 차단 상태 활동

    이 활동은 값(IP, URL 또는 도메인)이 방화벽의 해당 외부 동적 목록/동적 차단 목록(EDL/DBL)에 포함되어 있는지 확인합니다. EDL/DBL 세부 정보는 운영 명령을 사용하여 방화벽에서 가져오며, 값이 방화벽에서 차단되었는지 확인하는 루틴이 수행됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다. 나열된 모든 입력 변수 항목은 필수입니다.

    표 5. 입력 변수
    변수 설명
    valueToBeChecked [문자열] 차단 요청의 값입니다.
    showEDLDetailsCommand [문자열] 값이 방화벽에 있는지 여부를 확인하는 데 사용되는 외부 동적 목록 명령입니다.
    FirewallIpAddress [문자열] 사용된 방화벽의 IP 주소입니다.
    FirewallApiKey [문자열] 방화벽 API 키입니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다. 출력은 방화벽 구성의 데이터와 Palo Alto Firewall Operational Command API 메시지를 사용하여 동적으로 생성된 데이터로 구성됩니다.

    표 6. 출력 변수
    변수 설명
    commandResult [문자열] show EDL Details 명령에 대한 방화벽의 결과입니다.
    blockedStatus [부울] True는 차단됨을 나타냅니다. False는 차단되지 않음을 나타냅니다.
    commandResponse [문자열] show EDL Details 명령에 대해 방화벽에서 가져온 응답 상태입니다.

    Palo Alto 방화벽: API 키 작업 가져오기

    이 활동은 방화벽에서 API 키를 검색합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다. 나열된 모든 입력 변수 항목은 필수입니다.

    표 7. 입력 변수
    변수 설명
    사용자 이름 [string] 방화벽 관리자의 사용자 이름입니다.
    비밀번호 [string] 방화벽 관리자 암호입니다.
    FirewallIpAddress [문자열] 방화벽의 IP 주소입니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 8. 출력 변수
    변수 설명
    APIKey [문자열] 방화벽 API 키입니다.

    Palo Alto 방화벽: 방화벽 구성 작업 가져오기

    Palo Alto 방화벽: 방화벽 구성 가져오기 워크플로우 활동은 데이터베이스에서 모든 관련 방화벽 구성 정보를 가져오고 후속 활동에서 사용할 수 있도록 합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 9. 입력 변수
    변수 설명
    firewallSysid [문자열] 방화벽의 시스템 ID입니다. 이 입력 변수는 필수입니다.
    typeOfValueToBeBlocked [문자열] 방화벽에서 차단할 값의 유형(IP, URL 또는 도메인)입니다.
    firewallIPAddress [문자열] 방화벽의 IP 주소입니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 10. 출력 변수
    변수 설명
    ipEDLName [문자열] IP 주소의 외부 동적 목록 이름입니다.
    urlEDLName [문자열] URL의 외부 동적 목록 이름입니다.
    domainEDLName [문자열] 도메인의 외부 동적 목록 이름입니다.
    firewallVersionSysId [문자열] 방화벽 버전의 시스템 ID입니다.
    refreshEDLCommand [문자열] 원본에서 EDL을 새로 고치는 데 사용할 명령입니다.
    ShowEDLDetailsCommand [문자열] EDL 상세 정보를 가져오는 데 사용할 명령입니다.
    status [부울] True는 성공을 나타냅니다. False는 실패를 나타냅니다.
    error [문자열] 활동에서 발생한 오류입니다(있는 경우).
    엔드포인트 [암호화됨] 데이터베이스에서 암호화된 엔드포인트입니다.

    Palo Alto 방화벽 - EDL/DBL 활동 새로 고침

    이 활동은 방화벽에서 작동 명령을 실행하여 방화벽에 구성된 소스에서 외부 동적 목록을 새로 고칩니다. 이 활동의 출력은 새로 고침 작업이 큐에 대기되었는지 여부를 나타냅니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다. 나열된 모든 입력 변수 항목은 필수입니다.

    표 11. 입력 변수
    변수 설명
    FirewallIpAddress [문자열] 새로 고칠 방화벽의 IP 주소입니다.
    FirewallApiKey [문자열] 새로 고친 방화벽 API 키입니다.
    FirewallCommand [문자열] 새로 고침 작업을 대기열에 넣기 위해 실행할 운영 명령입니다.

    출력 변수

    출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 12. 출력 변수
    변수 설명
    활동. Output.result [문자열] 새로 고침 작업이 실행을 위해 큐에 대기했는지 여부를 나타내는 텍스트 문자열: 성공 또는 실패.