Obter fluxo de dados de log
Se Resposta a incidentes de segurança, Inteligência contra ameaçase. Palo Alto Networks - Firewallestão ativados, o. Operações de segurança da Palo Alto Networks - Obter dados de log O fluxo é executado automaticamente quando o IP de origem dos observáveis em um incidente de segurança é alterado.
Antes de Iniciar
Função necessária: sn_si.analista
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
Firewall de Palo Alto: Obter ação de chave de API
Esta ação recupera a chave de API do firewall.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação. Todas as entradas de variáveis de entrada listadas são obrigatórias.
| Variável | Descrição |
|---|---|
| Nome de usuário [cadeia de caracteres] | O nome de usuário do administrador do firewall. |
| Senha [cadeia de caracteres] | A senha do administrador do firewall. |
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| APIKey [cadeia de caracteres] | A chave de API do firewall. |
Firewall de Palo Alto: Obter ação de configuração de firewall
. Firewall de Palo Alto: Obter configuração de firewall a ação de fluxo obtém todas as informações de configuração de firewall relacionadas do banco de dados e as disponibiliza para uso pela ação subsequente.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação.
| Variável | Descrição |
|---|---|
| FirewallSysid [cadeia de caracteres] | O ID do sistema do firewall. Esta variável de entrada é obrigatória. |
| TypeOfValueToBeBloqueado [cadeia de caracteres] | O tipo de valor a ser bloqueado no firewall: IP, URL ou Domínio. |
| FirewallIPAddress [cadeia de caracteres] | O endereço IP do firewall. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| Nome ipEDL[cadeia de caracteres] | O nome da lista dinâmica externa para endereços IP. |
| UrlEDLName [cadeia de caracteres] | O nome da lista dinâmica externa para URLs. |
| Nome do domínio [cadeia de caracteres] | O nome da lista dinâmica externa para domínios. |
| FirewallVersionSysId [cadeia de caracteres] | O ID do sistema da versão do firewall. |
| RefreshEDLComando [cadeia de caracteres] | O comando a ser usado para atualizar o EDL da origem. |
| Comando showEDLDetalhes[cadeia de caracteres] | O comando a ser usado para obter os detalhes do EDL. |
| Status [booliano] | Verdadeiro indica sucesso. Falso indica falha. |
| erro [cadeia de caracteres] | O erro, se houver, que ocorreu na ação. |
| Endpoint [criptografado] | O endpoint criptografado do banco de dados. |
Firewall de Palo Alto - Obter ação de log
. Firewall de Palo Alto: Obter log A ação de fluxo agenda uma consulta no firewall para recuperar logs e retorna um JOBID usado para recuperar os dados do log.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação.
| Variável | Descrição |
|---|---|
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall. Esta variável de entrada é obrigatória. |
| FirewallApiKey [cadeia de caracteres] | A chave de acesso à API do firewall. Esta variável de entrada é obrigatória. |
| FirewallLogType [cadeia de caracteres] | O tipo de dados de log a serem recuperados (definido como Ameaça). Esta variável de entrada é obrigatória. |
| FirewallLogFilterQuery [cadeia de caracteres] | A consulta a ser executada para pesquisar logs no firewall. Esta variável de entrada é obrigatória. |
| LogDirection [cadeia de caracteres] | Especifica se os logs são mostrados mais antigos primeiro (para trás) ou mais recentes primeiro (para frente). |
| LogNumber [cadeia de caracteres] | Especifica o número de logs a serem recuperados. |
| LogSkipCount [cadeia de caracteres] | Especifica o número de logs a serem ignorados ao fazer uma recuperação de log. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| Fila [cadeia de caracteres] | O ID do trabalho retornado do firewall. |
| JobAgendado [cadeia de caracteres] | Especifica (sucesso ou falha) se o trabalho foi enviado para o firewall. |
| erro [cadeia de caracteres] | Todos os erros retornados. |
Firewall de Palo Alto - Ação de dados de trabalho
Após Firewall de Palo Alto: Obter log a ação fila a consulta de pesquisa para o firewall e o trabalho é executado, o. Firewall de Palo Alto: Ação de dados de trabalho a ação recupera os dados do log de ameaças do firewall.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação. Todos os campos de entrada são obrigatórios.
| Variável | Descrição |
|---|---|
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall. |
| FirewallApiKey [cadeia de caracteres] | A chave de acesso à API do firewall. |
| JOBID [cadeia de caracteres] | O ID do trabalho em fila. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| CommandStatus [cadeia de caracteres] | Especifica (sucesso ou falha) se os dados foram recuperados do firewall. |
| JobData [cadeia de caracteres] | Os dados coletados do firewall. |
| erro [cadeia de caracteres] | Todos os erros retornados. |