Security Operations Palo Alto Networks : workflow de vérification et de blocage des valeurs
Au fur et à mesure que des incidents de sécurité sont créés et triés pour identifier les menaces potentielles, vous pouvez utiliser le workflow Security Operations Palo Alto Networks - Check and Block Value pour vérifier et mettre à jour automatiquement les adresses IP, les URL et les domaines à l’aide de listes dynamiques externes définies dans Palo Alto Networks - Firewall.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Pendant l’exécution du workflow, les commandes définies sous sont exécutés. Les commandes de type Show (par exemple, Show-IP-ExternalDynamicList) déterminent si la valeur existe sur le pare-feu. Les commandes de type Refresh (par exemple, Refresh-IP-ExternalDynamicList) ajoutent de la valeur qui n’existe pas sur le pare-feu à la liste de blocs.
Après l’exécution de l’activité État bloqué, l’approbation d’un administrateur système est requise pour que le workflow puisse se poursuivre.
Procédure
Pare-feu Palo Alto : bloquer l’activité de l’état de la demande
Cette activité est appelée par d’autres activités pour définir l’état de la demande de bloc de pare-feu sur réussite ou échec.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| firewallBlockRequestSysid [chaîne] | L’ID système de la demande de bloc de pare-feu. Cette variable d’entrée est obligatoire. |
| État [chaîne] | Indique si la tâche d’actualisation a été exécutée : réussite ou échec. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| Résultat [chaîne] | Indique si la tâche d’actualisation a réussi ou échoué. |
Pare-feu Palo Alto : activité de valeur de bloc
Une fois que le workflow a identifié une valeur qui n’est pas sur le pare-feu, l’enregistrement est acheminé pour approbation. Après approbation, cette activité se connecte au serveur MID via vos informations d’identification SSH et invoque un script qui ajoute la valeur à la liste de blocs externes du pare-feu.
Variables d'entrée
| Variable | Description |
|---|---|
| toBeBlockedValue [chaîne] | Valeur à ajouter à l’EDL si elle n’est pas déjà présente. Cette variable d’entrée est obligatoire. |
| typeToBeBlocked [chaîne] | Type de valeur à bloquer : IP, URL ou Domaine. Cette variable d’entrée est obligatoire. |
| targetHost [chaîne] | Serveur MID sur lequel le script est exécuté. |
| SSHCredentialTag [chaîne] | La balise d’informations d’identification SSH définie sur le Serveur MID. |
| scriptCommand [chaîne] | Script AppendValueToList.sh utilisé pour ajouter la valeur à l’EDL. Le chemin d’accès complet au serveur MID est nécessaire. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures.
| Variable | Description |
|---|---|
| Résultat [chaîne] | Le résultat a été transmis à l’EDL. |
Pare-feu Palo Alto : activité d’état bloqué
Cette activité vérifie si la valeur (IP, URL ou domaine) est incluse dans sa liste dynamique externe/liste de blocs dynamiques (EDL/DBL) respective sur le pare-feu. Les détails EDL/DBL sont obtenus à partir du pare-feu à l’aide d’une commande opérationnelle, et une routine est exécutée pour vérifier si la valeur est bloquée sur le pare-feu.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| valueToBeChecked [chaîne] | La valeur de la demande de bloc. |
| showEDLDetailsCommand [chaîne] | La commande Liste dynamique externe utilisée pour déterminer si la valeur existe sur le pare-feu. |
| FirewallIpAddress [chaîne] | L’adresse IP du pare-feu utilisé. |
| FirewallApiKey [chaîne] | Clé API du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement à l’aide du message API de commande opérationnelle du pare-feu Palo Alto.
| Variable | Description |
|---|---|
| commandResult [chaîne] | Résultats du pare-feu pour la commande Afficher les détails de l’EDL. |
| blockedStatus [booléen] | Vrai indique bloqué. Faux indique non bloqué. |
| commandResponse [chaîne] | État de la réponse obtenu à partir du pare-feu pour la commande Afficher les détails de l’EDL. |
Pare-feu Palo Alto : obtenir l’action de clé API
Cette action récupère la clé API à partir du pare-feu.
Variables d'entrée
Les variables d’entrée déterminent le comportement initial de l’action. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| Nom d’utilisateur [chaîne] | Le nom d’utilisateur de l’administrateur du pare-feu. |
| Mot de passe [chaîne] | Mot de passe administrateur du pare-feu. |
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| APIKey [chaîne] | Clé API du pare-feu. |
Pare-feu Palo Alto : action Obtenir la configuration du pare-feu
L’action de flux Pare-feu Palo Alto : obtenir la configuration du pare-feu accède à toutes les informations de configuration du pare-feu connexes à partir de la base de données et les rend disponibles pour utilisation par l’action suivante.
Variables d'entrée
Les variables d’entrée déterminent le comportement initial de l’action.
| Variable | Description |
|---|---|
| firewallSysid [chaîne] | ID système du pare-feu. Cette variable d’entrée est obligatoire. |
| typeOfValueToBeBlocked [chaîne] | Type de valeur à bloquer sur le pare-feu : IP, URL ou Domaine. |
| firewallIPAddress [chaîne] | Adresse IP du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| ipEDLName [chaîne] | Nom de la liste dynamique externe pour les adresses IP. |
| urlEDLName [chaîne] | Nom de la liste dynamique externe pour les URL. |
| domainEDLName [chaîne] | Nom de la liste dynamique externe des domaines. |
| firewallVersionSysId [chaîne] | ID système pour la version du pare-feu. |
| refreshEDLCommand [chaîne] | Commande à utiliser pour actualiser l’EDL à partir de la source. |
| ShowEDLDetailsCommand [chaîne] | Commande à utiliser pour obtenir les détails de l’EDL. |
| état [booléen] | Vrai indique la réussite. Faux indique un échec. |
| Erreur [chaîne] | L’erreur, le cas échéant, qui s’est produite dans l’action. |
| point de terminaison [chiffré] | Point de terminaison chiffré à partir de la base de données. |
Pare-feu Palo Alto : actualiser l’activité EDL/DBL
Cette activité exécute une commande opérationnelle sur le pare-feu pour actualiser la liste dynamique externe à partir de la source configurée sur le pare-feu. La sortie de cette activité indique si la tâche d’actualisation a été mise en file d’attente.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu en cours d’actualisation. |
| FirewallApiKey [chaîne] | Clé API de pare-feu actualisée. |
| FirewallCommand [chaîne] | Commande opérationnelle à exécuter pour mettre en file d’attente la tâche d’actualisation. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| activité. Sortie.résultat [chaîne] | Chaîne de texte indiquant si la tâche d’actualisation a été mise en file d’attente pour s’exécuter : réussite ou échec. |