Workflow „Protokolldaten abrufen“.
Wenn Security Incident Response, Threat Intelligenceund Palo Alto Networks – Firewall aktiviert sind, wird der Workflow „ Security Operations Palo Alto Networks - Protokolldaten abrufen“ automatisch ausgeführt, wenn die Quell-IP für erkennbare Elemente in einem Security Incident geändert wird.
Vorbereitungen
Erforderliche Rolle: sn_si.analyst
Warum und wann dieser Vorgang ausgeführt wird
Prozedur
Palo Alto-Firewall: Aktivität „API-Schlüssel abrufen“.
Mit dieser Aktivität wird der API-Schlüssel von der Firewall abgerufen.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle aufgeführten Eingabevariableneinträge sind obligatorisch.
| Variable | Beschreibung |
|---|---|
| Benutzername [Zeichenfolge] | Der Benutzername des Firewall-Administrators. |
| Passwort [Zeichenfolge] | Das Firewall-Administratorpasswort |
| FirewallIpAddress [Zeichenfolge] | IP-Adresse der Firewall |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.
| Variable | Beschreibung |
|---|---|
| APIKey [Zeichenfolge] | Der Firewall-API-Schlüssel. |
Palo Alto-Firewall: Aktivität „Firewall-Konfiguration abrufen“.
Die Workflow-Aktivität „Palo Alto Firewall: Firewall-Konfiguration abrufen“ ruft alle zugehörigen Firewall-Konfigurationsinformationen aus der Datenbank ab und stellt sie der nachfolgenden Aktivität zur Verfügung.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| firewallSysid [Zeichenfolge] | System-ID der Firewall Diese Eingabevariable ist obligatorisch. |
| typeOfValueToBeBlocked [Zeichenfolge] | Der Typ des Werts, der auf der Firewall blockiert werden soll: IP, URL oder Domäne. |
| firewallIPAddress [Zeichenfolge] | IP-Adresse der Firewall |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.
| Variable | Beschreibung |
|---|---|
| ipEDLName [Zeichenfolge] | Der Name der externen dynamischen Liste für IP-Adressen. |
| urlEDLName [Zeichenfolge] | Der Name der externen dynamischen Liste für URLs. |
| domainEDLName [Zeichenfolge] | Der Name der externen dynamischen Liste für Domänen. |
| firewallVersionSysId [Zeichenfolge] | Die System-ID für die Firewall-Version. |
| refreshEDLCommand [Zeichenfolge] | Der Befehl, der zum Aktualisieren der EDL aus der Quelle verwendet werden soll. |
| ShowEDLDetailsCommand [Zeichenfolge] | Der Befehl, der zum Abrufen der EDL-Details verwendet werden soll. |
| Status [Boolean] | „True“ zeigt Erfolg an. „False“ zeigt einen Fehler an. |
| Fehler [Zeichenfolge] | Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden. |
| Endpunkt [Verschlüsselt] | Der verschlüsselte Endpunkt aus der Datenbank. |
Palo Alto-Firewall: Protokollaktivität abrufen
Die Workflow-Aktivität Palo Alto Firewall: Protokoll abrufen plant eine Abfrage auf der Firewall, um Protokolle abzurufen, und gibt eine JobID zurück, die zum Abrufen der Protokolldaten verwendet wird.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| FirewallIpAddress [Zeichenfolge] | IP-Adresse der Firewall Diese Eingabevariable ist obligatorisch. |
| FirewallApiKey [Zeichenfolge] | Der API-Zugriffsschlüssel der Firewall. Diese Eingabevariable ist obligatorisch. |
| FirewallLogType [Zeichenfolge] | Der Typ der abzurufenden Protokolldaten (festgelegt auf Bedrohung). Diese Eingabevariable ist obligatorisch. |
| FirewallLogFilterQuery [Zeichenfolge] | Die Abfrage, die ausgeführt werden soll, um nach Protokollen in der Firewall zu suchen. Diese Eingabevariable ist obligatorisch. |
| LogDirection [Zeichenfolge] | Gibt an, ob Protokolle in der Reihenfolge „Älteste zuerst“ (rückwärts) oder „Neueste zuerst“ (vorwärts) angezeigt werden. |
| LogNumber [Zeichenfolge] | Gibt die Anzahl der abzurufenden Protokolle an. |
| LogSkipCount [Zeichenfolge] | Gibt die Anzahl der Protokolle an, die beim Protokollabruf übersprungen werden sollen. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.
| Variable | Beschreibung |
|---|---|
| QueueJobID [Zeichenfolge] | Die von der Firewall zurückgegebene Job-ID |
| JobScheduled [Zeichenfolge] | Gibt an (Erfolg oder Fehler), ob der Job an die Firewall gesendet wurde. |
| Fehler [Zeichenfolge] | Alle zurückgegebenen Fehler. |
Palo Alto-Firewall – Aktivität „Auftragsdatenaktion“.
Nachdem die Aktivität „ Palo Alto Firewall: Protokoll abrufen“ die Suchabfrage an die Firewall in die Warteschlange gestellt und den Auftrag ausgeführt hat, ruft die Aktivität „Palo Alto Firewall: Auftragsdatenaktion“ die Bedrohungsprotokolldaten von der Firewall ab.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle Eingabefelder sind Pflichtfelder.
| Variable | Beschreibung |
|---|---|
| FirewallIpAddress [Zeichenfolge] | IP-Adresse der Firewall |
| FirewallApiKey [Zeichenfolge] | Der API-Zugriffsschlüssel der Firewall. |
| Stellen-ID [Zeichenfolge] | Die ID des Auftrags in der Warteschlange. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.
| Variable | Beschreibung |
|---|---|
| commandStatus [Zeichenfolge] | Gibt an (Erfolg oder Fehler), ob Daten von der Firewall abgerufen wurden. |
| JobData [Zeichenfolge] | Die von der Firewall erfassten Daten |
| Fehler [Zeichenfolge] | Alle zurückgegebenen Fehler. |
Schreiben Sie Inhalte, die als Anhangsaktivität aufgezeichnet werden sollen
Diese Aktivität schreibt den aus einer Eingabe übergebenen Inhalt und erstellt einen bestimmten Anhang zu einem bestimmten Datensatz.
Die Aktivität Inhalt in Datensatz als Anhang schreiben kann mit jedem Workflow verwendet werden, um Inhalte zu schreiben und an einen Datensatz anzuhängen.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Tabellenname [Zeichenfolge] | Der Tabellenname für den Datensatz. Dieses Eingabefeld ist ein Pflichtfeld. |
| sysid [Zeichenfolge] | Der Systembezeichner (sys_id) eines Aufgabendatensatzes. Dieses Eingabefeld ist ein Pflichtfeld. |
| Nutzlast | Der Nur-Text-Inhalt, der als Anhang geschrieben werden soll. Dieses Eingabefeld ist ein Pflichtfeld. |
| filename | Name der Anhangdatei. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Ergebnis [Zeichenfolge] | Gibt an, ob die Aktualisierung erfolgreich war. |