Security Operations Palo Alto Networks : workflow de vérification et de blocage des valeurs

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 7 minutes de lecture

    • Au fur et à mesure que des incidents de sécurité sont créés et triés pour identifier les menaces potentielles, vous pouvez utiliser le workflow Security Operations Palo Alto Networks - Check and Block Value pour vérifier et mettre à jour automatiquement les adresses IP, les URL et les domaines à l’aide de listes dynamiques externes définies dans Palo Alto Networks - Firewall.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Le workflow Security Operations Palo Alto Networks - Vérifier et bloquer la valeur est exécuté lorsque les demandes de blocage de pare-feu sont soumises. La demande de bloc spécifie le pare-feu à utiliser, le type d’observable à vérifier et à bloquer (si nécessaire) et la valeur du bloc. C’est-à-dire l’adresse IP, l’URL ou le domaine en question.

    Pendant l’exécution du workflow, les commandes définies sous Intégration de Palo Alto Networks > Pare-feu > Commandes sont exécutés. Les commandes de type Show (par exemple, Show-IP-ExternalDynamicList) déterminent si la valeur existe sur le pare-feu. Les commandes de type Refresh (par exemple, Refresh-IP-ExternalDynamicList) ajoutent de la valeur qui n’existe pas sur le pare-feu à la liste de blocs.

    Après l’exécution de l’activité État bloqué, l’approbation d’un administrateur système est requise pour que le workflow puisse se poursuivre.

    Figure 1. Security Operations Palo Alto Networks : workflow de vérification et de blocage de valeur
    Pare-feu Palo Alto Networks : workflow de vérification et de blocage

    Procédure

    1. Accédez à la Intégration de Palo Alto Networks > Pare-feu > Demandes de blocs.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Pare-feu Sélectionnez le pare-feu à utiliser.
      Type de bloc Sélectionnez le type de valeur à vérifier :
      • IP
      • URL
      • DOMAINE
      Valeur du bloc Saisissez la valeur du type sélectionné à vérifier sur le pare-feu.
    4. Cliquez sur Envoyer.

    Pare-feu Palo Alto : bloquer l’activité de l’état de la demande

    Cette activité est appelée par d’autres activités pour définir l’état de la demande de bloc de pare-feu sur réussite ou échec.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.

    Tableau 1. Variables d'entrée
    Variable Description
    firewallBlockRequestSysid [chaîne] L’ID système de la demande de bloc de pare-feu. Cette variable d’entrée est obligatoire.
    État [chaîne] Indique si la tâche d’actualisation a été exécutée : réussite ou échec.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 2. Variables de sortie
    Variable Description
    Résultat [chaîne] Indique si la tâche d’actualisation a réussi ou échoué.

    Pare-feu Palo Alto : activité de valeur de bloc

    Une fois que le workflow a identifié une valeur qui n’est pas sur le pare-feu, l’enregistrement est acheminé pour approbation. Après approbation, cette activité se connecte au serveur MID via vos informations d’identification SSH et invoque un script qui ajoute la valeur à la liste de blocs externes du pare-feu.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité.
    Remarque :
    Vous devez entrer manuellement les variables d’entrée pour cette activité, puis publier le workflow. Si le workflow n’est pas publié, les variables d’entrée ne sont pas enregistrées pour les utilisateurs non-administrateurs.
    Tableau 3. Variables d'entrée
    Variable Description
    toBeBlockedValue [chaîne] Valeur à ajouter à l’EDL si elle n’est pas déjà présente. Cette variable d’entrée est obligatoire.
    typeToBeBlocked [chaîne] Type de valeur à bloquer : IP, URL ou Domaine. Cette variable d’entrée est obligatoire.
    targetHost [chaîne] Serveur MID sur lequel le script est exécuté.
    SSHCredentialTag [chaîne] La balise d’informations d’identification SSH définie sur le Serveur MID.
    scriptCommand [chaîne] Script AppendValueToList.sh utilisé pour ajouter la valeur à l’EDL. Le chemin d’accès complet au serveur MID est nécessaire.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures.

    Tableau 4. Variables de sortie
    Variable Description
    Résultat [chaîne] Le résultat a été transmis à l’EDL.

    Pare-feu Palo Alto : activité d’état bloqué

    Cette activité vérifie si la valeur (IP, URL ou domaine) est incluse dans sa liste dynamique externe/liste de blocs dynamiques (EDL/DBL) respective sur le pare-feu. Les détails EDL/DBL sont obtenus à partir du pare-feu à l’aide d’une commande opérationnelle, et une routine est exécutée pour vérifier si la valeur est bloquée sur le pare-feu.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.

    Tableau 5. Variables d'entrée
    Variable Description
    valueToBeChecked [chaîne] La valeur de la demande de bloc.
    showEDLDetailsCommand [chaîne] La commande Liste dynamique externe utilisée pour déterminer si la valeur existe sur le pare-feu.
    FirewallIpAddress [chaîne] L’adresse IP du pare-feu utilisé.
    FirewallApiKey [chaîne] Clé API du pare-feu.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement à l’aide du message API de commande opérationnelle du pare-feu Palo Alto.

    Tableau 6. Variables de sortie
    Variable Description
    commandResult [chaîne] Résultats du pare-feu pour la commande Afficher les détails de l’EDL.
    blockedStatus [booléen] Vrai indique bloqué. Faux indique non bloqué.
    commandResponse [chaîne] État de la réponse obtenu à partir du pare-feu pour la commande Afficher les détails de l’EDL.

    Pare-feu Palo Alto : obtenir l’action de clé API

    Cette action récupère la clé API à partir du pare-feu.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.

    Tableau 7. Variables d'entrée
    Variable Description
    Nom d’utilisateur [chaîne] Le nom d’utilisateur de l’administrateur du pare-feu.
    Mot de passe [chaîne] Mot de passe administrateur du pare-feu.
    FirewallIpAddress [chaîne] Adresse IP du pare-feu.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 8. Variables de sortie
    Variable Description
    APIKey [chaîne] Clé API du pare-feu.

    Pare-feu Palo Alto : action Obtenir la configuration du pare-feu

    L’action de flux Pare-feu Palo Alto : obtenir la configuration du pare-feu accède à toutes les informations de configuration du pare-feu connexes à partir de la base de données et les rend disponibles pour utilisation par l’action suivante.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 9. Variables d'entrée
    Variable Description
    firewallSysid [chaîne] ID système du pare-feu. Cette variable d’entrée est obligatoire.
    typeOfValueToBeBlocked [chaîne] Type de valeur à bloquer sur le pare-feu : IP, URL ou Domaine.
    firewallIPAddress [chaîne] Adresse IP du pare-feu.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 10. Variables de sortie
    Variable Description
    ipEDLName [chaîne] Nom de la liste dynamique externe pour les adresses IP.
    urlEDLName [chaîne] Nom de la liste dynamique externe pour les URL.
    domainEDLName [chaîne] Nom de la liste dynamique externe des domaines.
    firewallVersionSysId [chaîne] ID système pour la version du pare-feu.
    refreshEDLCommand [chaîne] Commande à utiliser pour actualiser l’EDL à partir de la source.
    ShowEDLDetailsCommand [chaîne] Commande à utiliser pour obtenir les détails de l’EDL.
    état [booléen] Vrai indique la réussite. Faux indique un échec.
    Erreur [chaîne] L’erreur, le cas échéant, qui s’est produite dans l’action.
    point de terminaison [chiffré] Point de terminaison chiffré à partir de la base de données.

    Pare-feu Palo Alto : actualiser l’activité EDL/DBL

    Cette activité exécute une commande opérationnelle sur le pare-feu pour actualiser la liste dynamique externe à partir de la source configurée sur le pare-feu. La sortie de cette activité indique si la tâche d’actualisation a été mise en file d’attente.

    Variables d'entrée

    Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.

    Tableau 11. Variables d'entrée
    Variable Description
    FirewallIpAddress [chaîne] Adresse IP du pare-feu en cours d’actualisation.
    FirewallApiKey [chaîne] Clé API de pare-feu actualisée.
    FirewallCommand [chaîne] Commande opérationnelle à exécuter pour mettre en file d’attente la tâche d’actualisation.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 12. Variables de sortie
    Variable Description
    activité. Sortie.résultat [chaîne] Chaîne de texte indiquant si la tâche d’actualisation a été mise en file d’attente pour s’exécuter : réussite ou échec.