Protokolldaten-Flow Abrufen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Wenn Security Incident Response, Threat Intelligence, Und Palo Alto Networks – Firewall Sind aktiviert, die Security Operations Palo Alto Networks – Protokolldaten Abrufen Der Flow wird automatisch ausgeführt, wenn die Quell-IP für erkennbare Elemente in einem Security Incident geändert wird.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Während der Flow-Ausführung werden Firewall-Konfigurationsinformationen aus der Datenbank abgerufen, und der API-Schlüssel wird aus der Firewall abgerufen. Mit der Aktion „Protokoll abrufen“ wird eine Suchabfrage in der Firewall in die Warteschlange gestellt. Wenn die Abfrage ausgeführt wird, wird eine Auftrags-ID zurückgegeben, die zum Abrufen von Bedrohungsprotokolldaten von der Firewall verwendet wird. Die Protokolldaten werden als XML-Datei an den Security Incident angehängt.
    Abbildung : 1. Security Operations Palo Alto Networks – Flow „Protokolldaten abrufen“
    Protokolldaten-Flow abrufen

    Prozedur

    1. Navigieren Sie zu einem Security Incident, der erkennbare Elemente enthält.
    2. Klicken Sie auf Erkennbare Security Incident-Elemente Registerkarte.
    3. In Quell-IP , Fügen Sie die IP-Adresse hinzu, oder ändern Sie sie.
    4. Klicken Sie auf Aktualisieren.
      Die Security Operations Palo Alto Networks – Protokolldaten Abrufen Flow wird ausgeführt, und angereicherte Bedrohungsprotokolldaten werden an den Security Incident angehängt. Die Informationen werden auch analysiert und in angezeigt Firewall-Protokolle Abschnitt unter Ergänzungsdaten Registerkarte.

    Palo Alto-Firewall: API-Schlüsselaktion abrufen

    Mit dieser Aktion wird der API-Schlüssel aus der Firewall abgerufen.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion. Alle aufgelisteten Eingabevariableneinträge sind obligatorisch.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    Anwendername [Zeichenfolge] Der Anwendername des Firewall-Administrators.
    Passwort [Zeichenfolge] Das Passwort des Firewall-Administrators.
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    ApiKey [Zeichenfolge] Der Firewall-API-Schlüssel.

    Palo Alto Firewall: Firewall-Konfigurationsaktion Abrufen

    Die Palo Alto Firewall: Firewall-Konfiguration Abrufen Die Flow-Aktion ruft alle zugehörigen Firewall-Konfigurationsinformationen aus der Datenbank ab und stellt sie zur Verwendung durch die nachfolgende Aktion bereit.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 3. Eingabevariablen
    Variable Beschreibung
    Firewall-Sysid [Zeichenfolge] Die System-ID der Firewall. Diese Eingabevariable ist obligatorisch.
    TypeOfValueToBeBlocked [Zeichenfolge] Der Typ des Werts, der in der Firewall blockiert werden soll: IP, URL oder Domäne.
    FirewallIPAddress [Zeichenfolge] Die IP-Adresse der Firewall.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 4. Ausgabevariablen
    Variable Beschreibung
    IpEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für IP-Adressen.
    UrlEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für URLs.
    DomainEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für Domänen.
    FirewallVersionSysId [Zeichenfolge] Die System-ID für die Firewall-Version.
    Refresh EDLCommand [Zeichenfolge] Der Befehl, der zum Aktualisieren der EDL aus der Quelle verwendet werden soll.
    ShowEDLDetailsCommand [Zeichenfolge] Der Befehl, der zum Abrufen der EDL-Details verwendet werden soll.
    Status [boolescher Wert] „Wahr“ gibt den Erfolg an. „Falsch“ gibt einen Fehler an.
    Fehler [Zeichenfolge] Der Fehler, falls vorhanden, der in der Aktion aufgetreten ist.
    Endpunkt [verschlüsselt] Der verschlüsselte Endpunkt aus der Datenbank.

    Palo Alto-Firewall: Protokollaktion Abrufen

    Die Palo Alto-Firewall: Protokoll Abrufen Die Flow-Aktion plant eine Abfrage in der Firewall, um Protokolle abzurufen, und gibt eine JobID zurück, die zum Abrufen der Protokolldaten verwendet wird.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 5. Eingabevariablen
    Variable Beschreibung
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall. Diese Eingabevariable ist obligatorisch.
    FirewallApiKey [Zeichenfolge] Der API-Zugriffsschlüssel der Firewall. Diese Eingabevariable ist obligatorisch.
    FirewallLogType [Zeichenfolge] Der Typ der abzurufenden Protokolldaten (auf Bedrohung festgelegt). Diese Eingabevariable ist obligatorisch.
    FirewallLogFilterQuery [Zeichenfolge] Die Abfrage, die ausgeführt werden soll, um nach Protokollen in der Firewall zu suchen. Diese Eingabevariable ist obligatorisch.
    LogDirection [Zeichenfolge] Gibt an, ob Protokolle älteste erste (rückwärts) oder neueste erste (vorwärts) Reihenfolge angezeigt werden.
    Protokollnummer [Zeichenfolge] Gibt die Anzahl der abzurufenden Protokolle an.
    LogSkipCount [Zeichenfolge] Gibt die Anzahl der Protokolle an, die beim Abruf eines Protokolls übersprungen werden sollen.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 6. Ausgabevariablen
    Variable Beschreibung
    WarteschlangenJobID [Zeichenfolge] Die von der Firewall zurückgegebene Auftrags-ID.
    Jobgeplant [Zeichenfolge] Gibt (Erfolg oder Fehler) an, ob der Auftrag an die Firewall gesendet wurde.
    Fehler [Zeichenfolge] Alle Fehler wurden zurückgegeben.

    Palo Alto-Firewall: Auftragsdatenaktion

    Nach Palo Alto-Firewall: Protokoll Abrufen Mit der Aktion wird die Suchabfrage an die Firewall in die Warteschlange gestellt, und der Auftrag wird ausgeführt Palo Alto Firewall: Auftragsdatenaktion Aktion ruft die Bedrohungsprotokolldaten von der Firewall ab.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion. Alle Eingabefelder sind Pflichtfelder.

    Tabelle : 7. Eingabevariablen
    Variable Beschreibung
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall.
    FirewallApiKey [Zeichenfolge] Der API-Zugriffsschlüssel der Firewall.
    JobId [Zeichenfolge] Die ID des Auftrags in der Warteschlange.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 8. Ausgabevariablen
    Variable Beschreibung
    CommandStatus [Zeichenfolge] Gibt (Erfolg oder Fehler) an, ob Daten von der Firewall abgerufen wurden.
    JobData [Zeichenfolge] Die von der Firewall erfassten Daten.
    Fehler [Zeichenfolge] Alle Fehler wurden zurückgegeben.