로그 데이터 가져오기 워크플로우

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 4분

    • , 및 활성화된 경우 보안 인시던트 응답보안 인시던트의 옵저버블에 대한 소스 IP가 변경될 때 보안 운영 Palo Alto Networks - 로그 데이터 가져오기 워크플로우가 자동으로 실행됩니다.Palo Alto Networks - Firewall위협 인텔리전스

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    워크플로우 실행 중에 방화벽 구성 정보가 데이터베이스에서 검색되고 API 키가 방화벽에서 검색됩니다. 로그 가져오기 작업은 방화벽에서 검색 쿼리를 큐에 대기시킵니다. 쿼리가 실행되면 방화벽에서 위협 로그 데이터를 검색하는 데 사용되는 작업 ID가 반환됩니다. 로그 데이터를 XML 파일로 보안 인시던트에 첨부합니다.
    그림 1. Security Operations Palo Alto Networks - 로그 데이터 가져오기 워크플로우
    로그 데이터 가져오기 워크플로우

    프로시저

    1. 옵저버블이 포함된 보안 인시던트로 이동합니다.
    2. 보안 인시던트 옵저버블 탭을 클릭합니다.
    3. 소스 IP에서 IP 주소를 추가하거나 수정합니다.
    4. 업데이트를 클릭합니다.
      보안 운영 Palo Alto Networks - 로그 데이터 가져오기 워크플로우가 실행되고 보강된 위협 로그 데이터가 보안 인시던트에 첨부됩니다. 또한 정보가 구문 분석되어 보강 데이터 탭 아래의 방화벽 로그 섹션에 표시됩니다.

    Palo Alto 방화벽: API 키 가져오기 활동

    이 활동은 방화벽에서 API 키를 검색합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다. 나열된 모든 입력 변수 항목은 필수입니다.

    표 1. 입력 변수
    변수 설명
    사용자 이름 [string] 방화벽 관리자의 사용자 이름입니다.
    암호 [string] 방화벽 관리자 암호입니다.
    FirewallIpAddress [문자열] 방화벽의 IP 주소입니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 2. 출력 변수
    변수 설명
    APIKey [문자열] 방화벽 API 키입니다.

    Palo Alto 방화벽: 방화벽 구성 가져오기 활동

    Palo Alto 방화벽: 방화벽 구성 가져오기 워크플로우 활동은 데이터베이스에서 모든 관련 방화벽 구성 정보를 가져오고 후속 활동에서 사용할 수 있도록 합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 3. 입력 변수
    변수 설명
    firewallSysid [문자열] 방화벽의 시스템 ID입니다. 이 입력 변수는 필수입니다.
    typeOfValueToBeBlocked [문자열] 방화벽에서 차단할 값의 유형(IP, URL 또는 도메인)입니다.
    firewallIPAddress [문자열] 방화벽의 IP 주소입니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 4. 출력 변수
    변수 설명
    ipEDLName [문자열] IP 주소의 외부 동적 목록 이름입니다.
    urlEDLName [문자열] URL의 외부 동적 목록 이름입니다.
    domainEDLName [문자열] 도메인에 대한 외부 동적 목록 이름입니다.
    firewallVersionSysId [문자열] 방화벽 버전의 시스템 ID입니다.
    refreshEDLCommand [문자열] 소스에서 EDL을 새로 고치는 데 사용할 명령입니다.
    ShowEDLDetailsCommand [문자열] EDL 상세 정보를 가져오는 데 사용할 명령입니다.
    status [부울] True는 성공을 나타냅니다. False는 실패를 나타냅니다.
    오류 [string] 활동에서 발생한 오류입니다(있는 경우).
    엔드포인트 [암호화됨] 데이터베이스의 암호화된 엔드포인트입니다.

    Palo Alto 방화벽 - 로그 활동 가져오기

    Palo Alto 방화벽: 로그 가져오기 워크플로 활동은 방화벽에서 로그를 검색하기 위한 쿼리를 예약하고 로그 데이터를 검색하는 데 사용되는 JobID를 반환합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 5. 입력 변수
    변수 설명
    FirewallIpAddress [문자열] 방화벽의 IP 주소입니다. 이 입력 변수는 필수입니다.
    FirewallApiKey [문자열] 방화벽의 API 접근 키입니다. 이 입력 변수는 필수입니다.
    FirewallLogType [문자열] 검색할 로그 데이터의 유형입니다(위협으로 설정). 이 입력 변수는 필수입니다.
    FirewallLogFilterQuery [문자열] 방화벽에서 로그를 검색하기 위해 실행할 쿼리입니다. 이 입력 변수는 필수입니다.
    LogDirection [문자열] 로그를 가장 오래된 것부터(뒤로) 또는 가장 최근 것부터(앞으로) 표시할지 지정합니다.
    LogNumber [문자열] 검색할 로그 수를 지정합니다.
    LogSkipCount [문자열] 로그 검색 시 건너뛸 로그 수를 지정합니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 6. 출력 변수
    변수 설명
    QueuedJobID [문자열] 방화벽에서 반환된 작업 ID입니다.
    JobScheduled [문자열] 작업이 방화벽으로 전송되었는지 여부(성공 또는 실패)를 지정합니다(성공 또는 실패).
    오류 [string] 반환된 오류입니다.

    Palo Alto 방화벽 - 작업 데이터 작업 활동

    Palo Alto 방화벽: 로그 가져오기 활동이 방화벽에 대한 검색 쿼리를 큐에 대기시키고 작업이 실행되면 Palo Alto 방화벽: 작업 데이터 작업 활동이 방화벽에서 위협 로그 데이터를 검색합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다. 모든 입력 필드는 필수입니다.

    표 7. 입력 변수
    변수 설명
    FirewallIpAddress [문자열] 방화벽의 IP 주소입니다.
    FirewallApiKey [문자열] 방화벽의 API 접근 키입니다.
    JobID [문자열] 대기 중인 작업의 ID입니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 8. 출력 변수
    변수 설명
    commandStatus [문자열] 데이터가 방화벽에서 검색되었는지 여부(성공 또는 실패)를 지정합니다.
    JobData [문자열] 방화벽에서 수집된 데이터입니다.
    오류 [string] 반환된 오류입니다.