Security Operations Palo Alto Networks : vérifier et bloquer le workflow de valeur

  • Rversion finale: Yokohama
  • Mis à jour 31 juil. 2025
  • 6 minutes de lecture

    • Au fur et à mesure que des incidents de sécurité sont créés et triés pour identifier les menaces potentielles, vous pouvez utiliser le workflow Security Operations Palo Alto Networks - Vérifier et bloquer la valeur pour vérifier et mettre à jour automatiquement les adresses IP, les URL et les domaines à l’aide des listes dynamiques externes définies dans Palo Alto Networks - Firewall.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Le workflow Security Operations Palo Alto Networks : vérifier et bloquer la valeur est exécuté lorsque les demandes de blocage de pare-feu sont soumises. La demande de bloc spécifie le pare-feu à utiliser, le type d’observable à vérifier et à bloquer (si nécessaire) et la valeur du bloc. C’est-à-dire l’adresse IP, l’URL ou le domaine en question.

    Lors de l’exécution du workflow, les commandes définies sous Intégration Palo Alto Networks > Pare-feu > Commandes sont exécutés. Les commandes de type Show (par exemple, Show-IP-ExternalDynamicList) déterminent si la valeur existe sur le pare-feu. Les commandes de type d’actualisation (par exemple, Refresh-IP-ExternalDynamicList) ajoutent de la valeur qui n’existe pas sur le pare-feu à la liste de blocs.

    Une fois l’activité Statut bloqué exécutée, l’approbation d’un administrateur système est requise pour que le workflow puisse continuer.

    Figure 1. Security Operations Palo Alto Networks : workflow de vérification et de blocage de valeur
    Pare-feu Palo Alto Networks : workflow Vérifier et bloquer

    Procédure

    1. Accédez à Intégration Palo Alto Networks > Pare-feu > Demandes de blocage.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Pare-feu Sélectionnez le pare-feu à utiliser.
      Type de bloc Sélectionnez le type de valeur à vérifier :
      • IP
      • URL
      • DOMAINE
      Valeur du bloc Entrez la valeur du type sélectionné à vérifier sur le pare-feu.
    4. Cliquez sur Envoyer.

    Pare-feu Palo Alto : bloquer l’activité de l’état de la demande

    Cette activité est appelée par d’autres activités pour définir l’état de la demande de bloc de pare-feu sur réussite ou échec.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.

    Tableau 1. Variables d'entrée
    Variable Description
    firewallBlockRequestSysid [chaîne] L’ID système de la demande de bloc de pare-feu. Cette variable d’entrée est obligatoire.
    état [chaîne] Indique si la tâche d’actualisation a été exécutée : réussite ou échec.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans des activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 2. Variables de sortie
    Variable Description
    résultat [chaîne] Indique la réussite ou l’échec de la tâche d’actualisation.

    Pare-feu Palo Alto : activité de la valeur de bloc

    Une fois que le workflow a identifié une valeur qui n’est pas sur le pare-feu, l’enregistrement est acheminé pour approbation. Après approbation, cette activité se connecte au serveur MID via vos informations d’identification SSH et invoque un script qui ajoute la valeur à la liste de blocs externes du pare-feu.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.
    Remarque :
    Vous devez saisir manuellement les variables d’entrée pour cette activité, puis publier le workflow. Si le workflow n’est pas publié, les variables d’entrée ne seront pas enregistrées pour les utilisateurs non administrateurs.
    Tableau 3. Variables d'entrée
    Variable Description
    toBeBlockedValue [chaîne] Valeur à ajouter à l’EDL si elle n’est pas déjà présente. Cette variable d’entrée est obligatoire.
    typeToBeBlocked [chaîne] Type de valeur à bloquer : IP, URL ou domaine. Cette variable d’entrée est obligatoire.
    targetHost [chaîne] Serveur MID sur lequel le script est exécuté.
    SSHCredentialTag [chaîne] La balise d’informations d’identification SSH définie sur le serveur MID.
    scriptCommand [chaîne] Script AppendValueToList.sh utilisé pour ajouter la valeur à l’EDL. Le chemin d’accès complet au serveur MID est nécessaire.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans des activités ultérieures.

    Tableau 4. Variables de sortie
    Variable Description
    résultat [chaîne] Le résultat a été transmis à l’EDL.

    Pare-feu Palo Alto : activité d’état bloqué

    Cette activité vérifie si la valeur (IP, URL ou domaine) est incluse dans sa liste dynamique externe/liste de blocs dynamiques (EDL/DBL) respective sur le pare-feu. Les détails de l’EDL/DBL sont obtenus à partir du pare-feu à l’aide d’une commande opérationnelle, et une routine est exécutée pour vérifier si la valeur est bloquée sur le pare-feu.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.

    Tableau 5. Variables d'entrée
    Variable Description
    valueToBeChecked [chaîne] La valeur de la demande de bloc.
    showEDLDetailsCommand [chaîne] La commande Liste dynamique externe utilisée pour déterminer si la valeur existe sur le pare-feu.
    FirewallIpAddress [chaîne] L’adresse IP du pare-feu utilisé.
    FirewallApiKey [chaîne] Clé API du pare-feu.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans des activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement à l’aide du message API de commande opérationnelle du pare-feu Palo Alto.

    Tableau 6. Variables de sortie
    Variable Description
    commandResult [chaîne] Les résultats du pare-feu pour la commande afficher les détails de l’EDL.
    blockedStatus [booléen] Vrai indique bloqué. Faux indique non bloqué.
    commandResponse [chaîne] L’état de la réponse obtenu à partir du pare-feu pour la commande afficher les détails de l’EDL.

    Pare-feu Palo Alto : obtenir une action de clé API

    Cette action récupère la clé API à partir du pare-feu.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.

    Tableau 7. Variables d'entrée
    Variable Description
    Nom d’utilisateur [chaîne] Le nom d’utilisateur de l’administrateur du pare-feu.
    Mot de passe [chaîne] Mot de passe administrateur du pare-feu.
    FirewallIpAddress [chaîne] Adresse IP du pare-feu.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 8. Variables de sortie
    Variable Description
    APIKey [chaîne] Clé API du pare-feu.

    Pare-feu Palo Alto : action Obtenir la configuration du pare-feu

    L’action de flux Palo Alto Firewall : Get Firewall Config accède à toutes les informations de configuration du pare-feu connexes à partir de la base de données et les rend disponibles pour utilisation par l’action suivante.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 9. Variables d'entrée
    Variable Description
    firewallSysid [chaîne] ID système du pare-feu. Cette variable d’entrée est obligatoire.
    typeOfValueToBeBlocked [chaîne] Type de valeur à bloquer sur le pare-feu : IP, URL ou Domaine.
    firewallIPAddress [chaîne] Adresse IP du pare-feu.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 10. Variables de sortie
    Variable Description
    ipEDLName [chaîne] Nom de la liste dynamique externe pour les adresses IP.
    urlEDLName [chaîne] Nom de la liste dynamique externe pour les URL.
    domaineEDLName [chaîne] Nom de la liste dynamique externe pour les domaines.
    firewallVersionSysId [chaîne] ID système de la version du pare-feu.
    refreshEDLCommand [chaîne] Commande à utiliser pour actualiser l’EDL à partir de la source.
    ShowEDLDetailsCommand [chaîne] La commande à utiliser pour obtenir les détails de l’EDL.
    état [booléen] Vrai indique la réussite. Faux indique un échec.
    erreur [chaîne] Erreur, le cas échéant, qui s’est produite dans l’action.
    point de terminaison [chiffré] Point de terminaison chiffré à partir de la base de données.

    Palo Alto Firewall : actualiser l’activité EDL/DBL

    Cette activité exécute une commande opérationnelle sur le pare-feu pour actualiser la liste dynamique externe à partir de la source configurée sur le pare-feu. Le résultat de cette activité indique si la tâche d’actualisation a été mise en file d’attente.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.

    Tableau 11. Variables d'entrée
    Variable Description
    FirewallIpAddress [chaîne] L’adresse IP du pare-feu en cours d’actualisation.
    FirewallApiKey [chaîne] La clé API de pare-feu actualisée.
    FirewallCommand [chaîne] Commande opérationnelle à exécuter pour mettre en file d’attente la tâche d’actualisation.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans des activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 12. Variables de sortie
    Variable Description
    activité. Sortie.résultat [chaîne] Chaîne de texte indiquant si la tâche d’actualisation a été mise en file d’attente pour s’exécuter : réussite ou échec.