Firewall-Regelanforderungen mit Agenten-Workflows

  • Freigeben Version: Australia
  • Aktualisiert 30. April 2026
  • 4 Minuten Lesedauer

    • Verwenden Sie den Agenten-Workflow zur Erstellung von Firewall-Verwaltungsaufgaben, um neue Firewall-Richtlinien und -Regeln von anzufordern Now Assist Bereich.

    Abbildung : 1. Workflow für Firewall-Regelanforderung
    Workflow für Firewall-Regelanforderung

    Fordern Sie Firewall-Regeln mithilfe des Agenten-Workflows an

    Verwenden Sie den Agenten-Workflow für die Erstellung von Firewallverwaltungsaufgaben, um neue Firewall-Regeln über Eingabeaufforderungen in natürlicher Sprache anzufordern.

    Vorbereitungen

    • Installieren und konfigurieren Sie die Anwendung „Firewall-Audits und Berichterstellung“.
    • Installieren Sie das Plugin „KI-Agenten für Discovery“. Dieses Plugin ist Teil des KI-Agenten-Pakets und erfordert ein separates Abonnement.
    • Erkennen Sie die Panorama-Firewall-Manager und -Geräte, und stellen Sie sicher, dass die Discovery die Tabelle „Panorama-Firewall-Adressobjekte“ ausgefüllt hat.

    Erforderliche Rolle: Firewall_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Der Agenten-Workflow liest Ihre Anforderung in natürlicher Sprache und extrahiert die erforderlichen Parameter wie Quell-IP, Ziel-IP, Protokoll, Datenverkehrsrichtung, Aktion und Konformitätstyp und fordert Sie zur Eingabe von Werten auf, die Sie nicht angegeben haben. Der Workflow führt eine Risikoanalyse basierend auf den Anforderungsdaten und dem angegebenen Konformitäts-Framework aus, bevor die Regelaufgabe erstellt wird. Die Risikoanalyse gibt eine von drei Ebenen zurück:

    • Niedrig: Der Workflow erstellt die Regelaufgabe und hängt die Analyse an.
    • Mittel oder hoch: Der Workflow erstellt die Aufgabe nicht. Der Workflow meldet den Verstoß im Chat und fragt, ob fortgefahren werden soll. Wenn Sie bestätigen, erstellt der Workflow die Aufgabe und hängt die Risikoanalyse an.
    Abbildung : 2. Now Assist-Agenten-Workflow
    Now Assist-Agenten-Workflow

    Prozedur

    1. Öffnen Sie Now Assist Bereich.
    2. Lösen Sie den Agenten-Workflow für die Erstellung von Firewallverwaltungsaufgaben aus.
    3. Geben Sie im Chat Ihre Firewall-Regelanforderung in natürlicher Sprache ein, und fügen Sie die Quell-IP, die Ziel-IP, das Protokoll, die Datenverkehrsrichtung und die Aktion hinzu.
    4. Beantworten Sie die Eingabeaufforderungen des Workflows, wenn Informationen fehlen.
    5. Überprüfen Sie die Antwort des Workflows.
      Die Antwort enthält die Regelaufgabennummer, die extrahierten Anforderungsdaten und die Risikoanalysezusammenfassung.

    Ergebnisse

    Navigieren Sie zu , um die Regelaufgabe zu überprüfen Regelanforderungen > Regelanforderungsaufgabean. Ihre Anforderung wird in der Liste mit angezeigt KI-Lösungsplan Feld auf „wahr“ festgelegt und die KI-Risikoanalyse als Arbeitsnotizen angehängt.

    Genehmigen Sie Firewall-Regelanforderungen

    Überprüfen Sie KI-generierte Firewall-Regelanforderungen, bewerten Sie die Risikoanalyse, und genehmigen oder lehnen Sie Anforderungen mit Gerätegruppenzuweisung ab.

    Vorbereitungen

    Erforderliche Rolle: Mitglieder der Genehmigungsgruppe, die in der Regelaufgabe angegeben ist. Der Administratoranwender kann die Genehmigerliste in der Regelaufgabe bearbeiten.

    Warum und wann dieser Vorgang ausgeführt wird

    Anforderungen, die aus dem Agenten-Workflow erstellt wurden, umfassen eine KI-Bewertung, die die Anforderung zusammenfasst und angibt, ob die Anforderung genehmigt werden kann. Genehmiger können diese Bewertung verwenden, anstatt jeden Parameter manuell auszuwerten. Vor der Genehmigung postet der Workflow eine Chat-Nachricht, die angibt, dass die Gerätegruppe nicht automatisch bestimmt werden kann. Eine Gerätegruppe ist ein logisches Paket von Geräten, auf denen die Regel erstellt wird. Der Genehmiger, der mit der Firewall-Infrastruktur vertraut ist, muss die Gerätegruppe angeben, auf die die Regel angewendet werden soll.

    Prozedur

    1. Navigieren zu Alle > Selfservice > Meine Genehmigungenan.
    2. Öffnen Sie die Regelaufgabe, und überprüfen Sie die KI-Bewertung in den Arbeitsnotizen.
      Der Status „gut zu genehmigen“ gibt an, dass die KI-Risikoanalyse ein niedriges Risiko zurückgegeben hat.
    3. Geben Sie in der Chat-Eingabeaufforderung die Gerätegruppe an, für die die Regel erstellt werden soll.
      Beispiel: test1 .
    4. Aktivieren Sie das grüne Häkchen, um die Anforderung zu genehmigen.

    Ergebnisse

    Die Anwendung „Firewall-Audits und Berichterstellung“ ruft die Panorama-REST-API auf, um zu überprüfen, ob die angeforderte Regel bereits vorhanden ist. Wenn die Regel vorhanden ist, meldet der Workflow das Ergebnis im Chat, und es ist keine weitere Aktion erforderlich. Wenn die Regel nicht vorhanden ist, fährt der Workflow mit dem nächsten Schritt fort. Die Zuweisungsgruppe bearbeitet die Anforderung und markiert sie Schließen Sie Abgeschlossen . Ein Hintergrund-Subflow erstellt eine Change-Anforderung, nachdem die Regelaufgabe markiert wurde Schließen Sie Abgeschlossen Mit KI-Lösungsplan Auf „wahr“ festlegen. Der Implementierungsplan enthält die Quell-IP, die Ziel-IP, den Datenverkehr-Flow, die Aktion, den Port, protokoll und Gerätegruppe.

    Hinweis:
    Die Change-Anforderung wird nur erstellt, wenn die Regelaufgabe lautet Genehmigt Und in Schließen Sie Abgeschlossen status, und das Change-Anforderungs-Plugin ist aktiviert.

    Implementieren Sie Firewall-Regeln für Palo Alto Panorama

    Implementieren Sie genehmigte Firewall-Regeln automatisch über den Change-Management-Prozess auf Palo Alto Panorama-Servern.

    Vorbereitungen

    • Überprüfen Sie, ob KI-Lösungsplan Feld in der Regelaufgabe ist auf „wahr“ festgelegt. Dieses Feld wird automatisch festgelegt, wenn die Anforderung aus erstellt wird Now Assist Bereich.

    Erforderliche Rolle: Mitglieder der Zuweisungsgruppe in der Change-Anforderung.

    Warum und wann dieser Vorgang ausgeführt wird

    Die Instanz ruft eine REST-API auf, um die Regel zu erstellen und zu bestätigen, sodass sich die Zuweisungsgruppe nicht manuell bei Panorama anmelden muss. Der Implementierungsschritt ist nicht automatisiert, wenn KI-Lösungsplan Das Feld ist leer, z. B. wenn die Anforderung aus dem Servicekatalog anstelle des Agenten-Workflows erstellt wird. In diesem Fall muss sich ein Mitglied der Zuweisungsgruppe bei Panorama anmelden, die Regel manuell erstellen und die Change-Anforderung als markieren Überprüfen .

    Prozedur

    1. Navigieren Sie zur Change-Anforderung, die aus der Regelaufgabe erstellt wurde.
    2. Verschieben Sie die Change-Anforderung durch die Standard-Change-Management-status: Bewerten , Autorisieren , Geplant , Und Implementieren .
    3. Wählen Sie Aus Implementieren .
      Der Workflow ruft eine REST-API auf, um die Regel für die bei der Genehmigung angegebene Gerätegruppe zu erstellen und zu bestätigen.
    4. Überprüfen Sie die Regel für die Change-Anforderung.
      Die Arbeitsnotizen zeigen an, ob die Regel erstellt und erfolgreich bestätigt wurde, zusammen mit dem Regelnamen.
    5. Wenn die Regel wie erwartet erstellt wurde, schließen Sie die Change-Anforderung.

    Ergebnisse

    Die Regel wird auf dem Panorama-Server für die angegebene Gerätegruppe erstellt und bestätigt.

    Hinweis:
    Commit wendet die Regel auf alle relevanten Geräte auf dem Panorama-Server an. „Erstellen“ speichert die Regel, ohne sie anzuwenden. Die Automatisierung führt sowohl „Erstellen“ als auch „Commit“ in einem einzelnen API-Aufruf durch.