Verificar e bloquear fluxo de trabalho de valor

Zurich Security Management

Release

zurich

ft:locale

pt-BR

ft:publication_title

Zurich Security Management

ft:clusterId

security

bundleId

security

workflow

Technology

Operações de segurança Palo Alto Networks - Verificar e bloquear fluxo de trabalho de valor

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

7 min. de leitura

Como os incidentes de segurança são criados e triados para identificar possíveis ameaças, você pode usar Operações de segurança Palo Alto Networks - Verificar e bloquear valor Fluxo de trabalho para verificar e atualizar automaticamente endereços IP, URLs e domínios usando listas dinâmicas externas definidas em Palo Alto Networks - Firewall.

Antes de Iniciar

Função necessária: sn_si.analyst

Por Que e Quando Desempenhar Esta Tarefa

. Operações de segurança Palo Alto Networks - Verificar e bloquear valor O fluxo de trabalho é executado quando as solicitações de bloqueio de firewall são enviadas. A solicitação de bloqueio especifica o firewall a ser usado, o tipo de observável a ser verificado e bloqueado (se necessário) e o valor do bloco. Ou seja, o endereço IP, URL ou domínio em questão.

Durante a execução do fluxo de trabalho, comandos definidos em Palo Alto Networks Integration > Firewall > Comandos são executados. Os comandos do tipo Mostrar (por exemplo, Show-ip-ExternalDynamicList) determinam se o valor existe no firewall. Os comandos do tipo Refresh (por exemplo, Refresh-IP-ExternalDynamicList) adicionam um valor que não existe no firewall à lista de bloqueios.

Após Status bloqueado a atividade é executada, a aprovação de um administrador do sistema é necessária antes que o fluxo de trabalho possa prosseguir.

Firewall da Palo Alto Networks - Verificar e bloquear fluxo de trabalho — Figura 1. Operações de segurança Palo Alto Networks - Fluxo de trabalho Verificar e bloquear valor

Procedimento

Navegar até Palo Alto Networks Integration > Firewall > Solicitações de bloqueio.
Clique em Nova.

Preencha os campos no formulário, conforme o apropriado.


Campo	Descrição
Firewall	Selecione o firewall a ser usado.
Tipos de bloco	Selecione o tipo de valor a ser verificado: IP URL DOMÍNIO
Valor do bloco	Insira o valor do tipo selecionado a ser verificado no firewall.

Clique em Enviar.

Firewall de Palo Alto - Atividade Bloquear status da solicitação

Esta atividade é chamada por outras atividades para definir o status da solicitação de bloqueio de firewall como Sucesso ou Falha.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da atividade.

Tabela 1. Variáveis de entrada
Variável	Descrição
FirewallBlockRequestSysid [cadeia de caracteres]	O ID do sistema da solicitação de bloqueio de firewall. Esta variável de entrada é obrigatória.
status [cadeia de caracteres]	Indica se o trabalho de atualização foi executado: Sucesso ou falha.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.

Tabela 2. Variáveis de saída
Variável	Descrição
resultado [cadeia de caracteres]	Indica se o sucesso ou a falha do trabalho de atualização.

Firewall de Palo Alto - Atividade Bloquear valor

Depois que o fluxo de trabalho identifica um valor que não está no firewall, o registro é roteado para aprovação. Após a aprovação, esta atividade se conecta ao MID Server por meio de suas credenciais SSH e invoca um script que adiciona o valor à Lista de bloqueios externos do firewall.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da atividade.

Nota:

Você deve inserir manualmente as variáveis de entrada para esta atividade e, em seguida publique o fluxo de trabalho . Se o fluxo de trabalho não for publicado, as variáveis de entrada não serão salvas para usuários não administradores.

Tabela 3. Variáveis de entrada
Variável	Descrição
BeBlockedValue [cadeia de caracteres]	O valor a ser adicionado ao EDL se ainda não estiver presente. Esta variável de entrada é obrigatória.
TypeToBeBlocked [cadeia de caracteres]	O tipo de valor a ser bloqueado: IP, URL ou Domínio. Esta variável de entrada é obrigatória.
TargetHost [cadeia de caracteres]	MID Server no qual o script é executado.
SSHCredentialTag [cadeia de caracteres]	. Marcador de credencial SSH definido no MID Server .
ScriptCommand [cadeia de caracteres]	O script AppendValueToList.sh usado para adicionar o valor ao EDL. Requer o caminho completo para o MID Server.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

Tabela 4. Variáveis de saída
Variável	Descrição
resultado [cadeia de caracteres]	O resultado passou para o EDL.

Firewall de Palo Alto - Atividade Status bloqueado

Esta atividade verifica se o valor (IP, URL ou domínio) está incluído em sua respectiva Lista dinâmica externa/Lista de bloqueios dinâmicos (EDL/DBL) no firewall. Os detalhes de EDL/DBL são obtidos do firewall usando um comando operacional e uma rotina é realizada para verificar se o valor está bloqueado no firewall.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da atividade. Todas as entradas de variáveis de entrada listadas são obrigatórias.

Tabela 5. Variáveis de entrada
Variável	Descrição
ValorToBeCheck [cadeia de caracteres]	O valor na solicitação de bloco.
ShowEDLDetalhsCommand [cadeia de caracteres]	O comando Lista dinâmica externa que está sendo usado para determinar se o valor existe no firewall.
FirewallIpAddress [cadeia de caracteres]	O endereço IP do firewall usado.
FirewallApiKey [cadeia de caracteres]	A chave de API do firewall.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente usando a mensagem da API Comando operacional do Firewall Palo Alto.

Tabela 6. Variáveis de saída
Variável	Descrição
CommandResult [cadeia de caracteres]	Os resultados do firewall para o comando Mostrar detalhes do EDL.
BlockedStatus [boolian]	Verdadeiro indica bloqueado. Falso indica não bloqueado.
CommandResponse [cadeia de caracteres]	O status da resposta obtido do firewall para o comando show EDL Details.

Palo Alto Firewall: Obter ação de chave de API

Esta ação recupera a chave de API do firewall.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da ação. Todas as entradas de variáveis de entrada listadas são obrigatórias.

Tabela 7. Variáveis de entrada
Variável	Descrição
Nome de usuário [cadeia de caracteres]	O nome de usuário do administrador do firewall.
Senha [cadeia de caracteres]	A senha do administrador do firewall.
FirewallIpAddress [cadeia de caracteres]	O endereço IP do firewall.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.

Tabela 8. Variáveis de saída
Variável	Descrição
APIKey [cadeia de caracteres]	A chave de API do firewall.

Palo Alto Firewall: Obter ação de configuração do firewall

. Palo Alto Firewall: Obter configuração de firewall a ação de fluxo obtém todas as informações de configuração de firewall relacionadas do banco de dados e as disponibiliza para uso pela ação subsequente.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da ação.

Tabela 9. Variáveis de entrada
Variável	Descrição
FirewallSysid [cadeia de caracteres]	O ID do sistema do firewall. Esta variável de entrada é obrigatória.
TypeOfValueToBeBlocked [cadeia de caracteres]	O tipo de valor a ser bloqueado no firewall: IP, URL ou Domínio.
FirewallIPAddress [cadeia de caracteres]	O endereço IP do firewall.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.

Tabela 10. Variáveis de saída
Variável	Descrição
IpEDLName [cadeia de caracteres]	O nome da lista dinâmica externa para endereços IP.
UrlEDLName [cadeia de caracteres]	O nome da lista dinâmica externa para URLs.
DomainEDLName [cadeia de caracteres]	O nome da Lista dinâmica externa para domínios.
FirewallVersionSysId [cadeia de caracteres]	O ID do sistema da versão do firewall.
RefreshEDLCommand [cadeia de caracteres]	O comando a ser usado para atualizar o EDL da origem.
ShowEDLDetalhsCommand [cadeia de caracteres]	O comando a ser usado para obter os detalhes do EDL.
Status [booliano]	Verdadeiro indica sucesso. Falso indica falha.
erro [cadeia de caracteres]	O erro, se houver, que ocorreu na ação.
Endpoint [criptografado]	O endpoint criptografado do banco de dados.

Firewall de Palo Alto- Atualize a atividade EDL/DBL

Esta atividade executa um comando operacional no firewall para atualizar a Lista dinâmica externa da origem configurada no firewall. A saída desta atividade indica se o trabalho de atualização foi enfileirado.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da atividade. Todas as entradas de variáveis de entrada listadas são obrigatórias.

Tabela 11. Variáveis de entrada
Variável	Descrição
FirewallIpAddress [cadeia de caracteres]	O endereço IP do firewall que está sendo atualizado.
FirewallApiKey [cadeia de caracteres]	A chave de API do firewall atualizada.
FirewallCommand [cadeia de caracteres]	O comando operacional a ser executado para enfileirar o trabalho de atualização.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.

Tabela 12. Variáveis de saída
Variável	Descrição
Resultado.Saída.Atividade [cadeia de caracteres]	Uma cadeia de caracteres de texto para indicar se o trabalho de atualização foi enfileirado para execução: Sucesso ou falha.