Workflow Obtenir les données du journal

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Si , et sont activés, le workflow Security Operations Palo Alto Networks - Obtenir les données de journal s’exécute automatiquement lorsque l’adresse IP source pour les observables d’un incident de sécurité est modifiée.Palo Alto Networks - FirewallRenseignements sur les menacesRéponse aux incidents de sécurité

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Pendant l’exécution du workflow, les informations de configuration du pare-feu sont récupérées à partir de la base de données et la clé API est récupérée à partir du pare-feu. L’activité Obtenir le journal met en file d’attente une requête de recherche sur le pare-feu. Lorsque la requête s’exécute, elle renvoie un ID de tâche utilisé pour récupérer les données des journaux de menaces à partir du pare-feu. Elle joint les données de journal sous forme de fichier XML à l’incident de sécurité.
    Figure 1. Security Operations Palo Alto Networks - Workflow Obtenir les données de journal
    Workflow Obtenir les données du journal

    Procédure

    1. Accédez à un incident de sécurité qui contient des observables.
    2. Cliquez sur l’onglet Observables d’incident de sécurité .
    3. Dans Adresse IP source, ajoutez ou modifiez l’adresse IP.
    4. Cliquez sur Mettre à jour.
      Le workflow Security Operations Palo Alto Networks - Obtenir les données de journal s’exécute et les données enrichies du journal des menaces sont jointes à l’incident de sécurité. Les informations sont également analysées et affichées dans la section Journaux de pare-feu sous l’onglet Données d’enrichissement .

    Pare-feu Palo Alto : obtenir l’activité de clé API

    Cette activité récupère la clé API à partir du pare-feu.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.

    Tableau 1. Variables d'entrée
    Variable Description
    Nom d’utilisateur [string] Nom d’utilisateur de l’administrateur du pare-feu.
    Mot de passe [chaîne] Mot de passe de l’administrateur du pare-feu.
    FirewallIpAddress [chaîne] L’adresse IP du pare-feu.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.

    Tableau 2. Variables de sortie
    Variable Description
    APIKey [chaîne] Clé API du pare-feu.

    Pare-feu Palo Alto : obtenir l’activité de configuration du pare-feu

    L’activité de workflow Pare-feu Palo Alto : obtenir la configuration du pare-feu accède à toutes les informations de configuration de pare-feu connexes dans la base de données et les rend utilisables par l’activité suivante.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.

    Tableau 3. Variables d'entrée
    Variable Description
    firewallSysid [chaîne] L’ID système du pare-feu. Cette variable d’entrée est obligatoire.
    typeOfValueToBeBlocked [chaîne] Type de valeur à bloquer sur le pare-feu : IP, URL ou Domaine.
    firewallIPAddress [chaîne] L’adresse IP du pare-feu.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.

    Tableau 4. Variables de sortie
    Variable Description
    ipEDLName [chaîne] Nom de la liste dynamique externe pour les adresses IP.
    urlEDLName [chaîne] Nom de la liste dynamique externe pour les URL.
    domainEDLName [chaîne] Nom de la liste dynamique externe pour les domaines.
    firewallVersionSysId [chaîne] L’ID système de la version du pare-feu.
    refreshEDLCommand [chaîne] Commande à utiliser pour actualiser l’EDL à partir de la source.
    ShowEDLDetailsCommand [chaîne] Commande à utiliser pour obtenir les détails de l’EDL.
    état [booléen] True indique le succès. Faux indique l’échec.
    Erreur [chaîne] Erreur, le cas échéant, qui s’est produite dans l’activité.
    point de terminaison [Chiffré] Point de terminaison chiffré issu de la base de données.

    Pare-feu Palo Alto : obtenir l’activité du journal

    L’activité de workflow Pare-feu Palo Alto : obtenir le journal planifie une requête sur le pare-feu pour récupérer les journaux et renvoie un JobID utilisé pour récupérer les données du journal.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.

    Tableau 5. Variables d'entrée
    Variable Description
    FirewallIpAddress [chaîne] L’adresse IP du pare-feu. Cette variable d’entrée est obligatoire.
    FirewallApiKey [chaîne] Clé d’accès API du pare-feu. Cette variable d’entrée est obligatoire.
    FirewallLogType [chaîne] Type de données de journal à récupérer (défini sur menace). Cette variable d’entrée est obligatoire.
    FirewallLogFilterQuery [chaîne] Requête à exécuter pour rechercher des journaux sur le pare-feu. Cette variable d’entrée est obligatoire.
    LogDirection [chaîne] Spécifie si les journaux sont affichés dans l’ordre le plus ancien en premier (en arrière) ou le plus récent en premier (en avant).
    LogNumber [chaîne] Spécifie le nombre de journaux à récupérer.
    LogSkipCount [chaîne] Spécifie le nombre de journaux à ignorer lors de la récupération d’un journal.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.

    Tableau 6. Variables de sortie
    Variable Description
    QueuedJobID [chaîne] L’ID de tâche renvoyé par le pare-feu.
    JobScheduled [chaîne] Spécifie (réussite ou échec) si la tâche a été envoyée au pare-feu.
    Erreur [chaîne] Toutes les erreurs renvoyées.

    Pare-feu Palo Alto - Activité de l’action de données de tâche

    Une fois que l’activité Palo Alto Firewall : obtenir le journal a mis en file d’attente la requête de recherche vers le pare-feu et que la tâche s’est exécutée, l’activité Palo Alto Firewall : action de données de tâche récupère les données du journal des menaces à partir du pare-feu.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité. Tous les champs d’entrée sont obligatoires.

    Tableau 7. Variables d'entrée
    Variable Description
    FirewallIpAddress [chaîne] L’adresse IP du pare-feu.
    FirewallApiKey [chaîne] Clé d’accès API du pare-feu.
    JobID [chaîne] L’ID de la tâche en file d’attente.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.

    Tableau 8. Variables de sortie
    Variable Description
    commandStatus [chaîne] Spécifie (réussite ou échec) si les données ont été récupérées à partir du pare-feu.
    JobData [chaîne] Données collectées à partir du pare-feu.
    Erreur [chaîne] Toutes les erreurs renvoyées.

    Écrire du contenu à enregistrer en tant qu’activité de pièce jointe

    Cette activité écrit le contenu transmis à partir d’une entrée et crée une pièce jointe désignée à un enregistrement donné.

    L’activité Écrire du contenu à enregistrer en tant que pièce jointe peut être utilisée avec n’importe quel workflow pour écrire du contenu et le joindre à un enregistrement.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.

    Tableau 9. Variables d'entrée
    Variable Description
    nom de table [chaîne] Le nom de table de l’enregistrement. Ce champ d’entrée est obligatoire.
    SysId [chaîne] Identificateur système (sys_id) d’un enregistrement de tâche. Ce champ d’entrée est obligatoire.
    payload Le contenu en texte brut à écrire en tant que pièce jointe. Ce champ d’entrée est obligatoire.
    filename Nom du fichier de la pièce jointe.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.

    Tableau 10. Variables de sortie
    Variable Description
    Résultat [chaîne] Indique si la mise à jour a réussi.