Palo-Alto-Netzwerke für Security Operations – Wert-Workflow überprüfen und blockieren

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Da Security Incidents erstellt und selektiert werden, um potenzielle Bedrohungen zu identifizieren, können Sie verwenden Palo-Alto-Netzwerke für Sicherheitsvorgänge: Wert überprüfen und blockieren Workflow zum automatischen Überprüfen und Aktualisieren von IP-Adressen, URLs und Domänen mithilfe externer dynamischer Listen, die in definiert sind Palo Alto Networks – Firewall.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Palo-Alto-Netzwerke für Sicherheitsvorgänge: Wert überprüfen und blockieren Workflow wird ausgeführt, wenn Firewall-Blockanforderungen übermittelt werden. Die Blockanforderung gibt die zu verwendende Firewall, den Typ des zu überprüfenden und zu blockierenden erkennbaren Elements (falls erforderlich) und den Blockwert an. Das ist die IP-Adresse, URL oder Domäne in Frage.

    Während der Workflow-Ausführung sind Befehle unter definiert Integration Von Palo Alto-Netzwerken > Firewall > Befehle Werden ausgeführt. Die Befehle „Typ anzeigen“ (z. B. „Show-IP-ExternalDynamicList“) bestimmen, ob der Wert in der Firewall vorhanden ist. Die Aktualisierungstyp-Befehle (z. B. Refresh-IP-ExternalDynamicList) fügen der Sperrliste Werte hinzu, die in der Firewall nicht vorhanden sind.

    Nach Sperrstatus Aktivität wird ausgeführt. Die Genehmigung durch einen Systemadministrator ist erforderlich, bevor der Workflow fortgesetzt werden kann.

    Abbildung : 1. Palo-Alto-Netzwerke für Sicherheitsvorgänge: Wert-Workflow überprüfen und blockieren
    Palo Alto-Netzwerke-Firewall: Workflow überprüfen und blockieren

    Prozedur

    1. Navigieren zu Integration Von Palo Alto-Netzwerken > Firewall > Anforderungen Blockierenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder im Formular nach Bedarf aus.
      Feld Beschreibung
      Firewall Wählen Sie die zu verwendende Firewall aus.
      Blocktyp Wählen Sie den Typ des zu prüfenden Werts aus:
      • IP
      • URL
      • DOMÄNE
      Blockwert Geben Sie den Wert des ausgewählten Typs ein, der in der Firewall überprüft werden soll.
    4. Klicken Sie auf Absenden.

    Palo-Alto-Firewall: Aktivität „Anforderungsstatus blockieren“

    Diese Aktivität wird von anderen Aktivitäten aufgerufen, um den Status der Firewall-Blockanforderung auf „Erfolg“ oder „Fehler“ festzulegen.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    FirewallBlockRequestSysid [Zeichenfolge] Die System-ID der Firewall-Blockanforderung. Diese Eingabevariable ist obligatorisch.
    Status [Zeichenfolge] Gibt an, ob der Aktualisierungsauftrag ausgeführt wurde: Erfolg oder Fehler.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    Ergebnis [Zeichenfolge] Gibt an, ob der Aktualisierungsauftrag erfolgreich oder fehlgeschlagen ist.

    Palo Alto-Firewall: Blockwertaktivität

    Nachdem der Workflow einen Wert identifiziert hat, der sich nicht in der Firewall befindet, wird der Datensatz zur Genehmigung weitergeleitet. Nach der Genehmigung stellt diese Aktivität über Ihre SSH-Anmeldeinformationen eine Verbindung zum MID-Server her und ruft ein Skript auf, das den Wert der externen Firewall-Blockliste hinzufügt.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
    Hinweis:
    Sie müssen die Eingabevariablen für diese Aktivität und dann manuell eingeben Veröffentlichen Sie den Workflow . Wenn der Workflow nicht veröffentlicht wird, werden die Eingabevariablen für Anwender ohne Administratorrechte nicht gespeichert.
    Tabelle : 3. Eingabevariablen
    Variable Beschreibung
    ToBeBlockedValue [Zeichenfolge] Der Wert, der der EDL hinzugefügt werden soll, falls nicht bereits vorhanden. Diese Eingabevariable ist obligatorisch.
    TypeBeBlocked [Zeichenfolge] Der Typ des zu blockierenden Werts: IP, URL oder Domäne. Diese Eingabevariable ist obligatorisch.
    Zielhost [Zeichenfolge] Der MID-Server, auf dem das Skript ausgeführt wird.
    SSHCredentialTag [Zeichenfolge] Die SSH-Anmeldeinformations-Tag, das auf dem MID-Server definiert ist .
    ScriptCommand [Zeichenfolge] Das Skript AppendValueToList.sh, das zum Hinzufügen des Werts zur EDL verwendet wird. Erfordert den vollständigen Pfad zum MID-Server.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 4. Ausgabevariablen
    Variable Beschreibung
    Ergebnis [Zeichenfolge] Das Ergebnis wurde an die EDL übergeben.

    Palo Alto-Firewall: Aktivität „blockierter Status“

    Diese Aktivität überprüft, ob der Wert (IP, URL oder Domäne) in der jeweiligen externen dynamischen Liste/dynamischen Blockliste (EDL/DBL) in der Firewall enthalten ist. Die EDL-/DBL-Details werden mithilfe eines Betriebsbefehls von der Firewall abgerufen, und es wird eine Routine durchgeführt, um zu überprüfen, ob der Wert in der Firewall blockiert ist.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle aufgeführten Eingabevariablen-Einträge sind obligatorisch.

    Tabelle : 5. Eingabevariablen
    Variable Beschreibung
    Wertbis Überprüftes [Zeichenfolge] Der Wert in der Blockanforderung.
    ShowEDLDetailsCommand [Zeichenfolge] Der Befehl „externe dynamische Liste“, der verwendet wird, um zu bestimmen, ob der Wert in der Firewall vorhanden ist.
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der verwendeten Firewall.
    FirewallApiKey [Zeichenfolge] Der Firewall-API-Schlüssel.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie Daten, die dynamisch mithilfe der API-Nachricht für den operativen Befehl der Palo-Alto-Firewall generiert werden.

    Tabelle : 6. Ausgabevariablen
    Variable Beschreibung
    BefehlResult [Zeichenfolge] Die Ergebnisse aus der Firewall für den Befehl „EDL-Details anzeigen“.
    BlockedStatus [boolescher Wert] „Wahr“ bedeutet blockiert. „Falsch“ bedeutet, dass sie nicht blockiert ist.
    Command-Antwort [Zeichenfolge] Der Antwortstatus, der von der Firewall für den Befehl „EDL-Details anzeigen“ abgerufen wurde.

    Palo Alto-Firewall: API-Schlüsselaktion abrufen

    Mit dieser Aktion wird der API-Schlüssel aus der Firewall abgerufen.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion. Alle aufgeführten Eingabevariablen-Einträge sind obligatorisch.

    Tabelle : 7. Eingabevariablen
    Variable Beschreibung
    Anwendername [Zeichenfolge] Der Anwendername des Firewall-Administrators.
    Passwort [Zeichenfolge] Das Firewall-Administratorpasswort.
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 8. Ausgabevariablen
    Variable Beschreibung
    ApiKey [Zeichenfolge] Der Firewall-API-Schlüssel.

    Palo Alto-Firewall: Firewall-Konfigurationsaktion Abrufen

    Die Palo Alto-Firewall: Firewall-Konfiguration Abrufen Die Flow-Aktion ruft alle zugehörigen Firewall-Konfigurationsinformationen aus der Datenbank ab und stellt sie für die Verwendung durch die nachfolgende Aktion bereit.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 9. Eingabevariablen
    Variable Beschreibung
    Firewall-Sysid [Zeichenfolge] Die System-ID der Firewall. Diese Eingabevariable ist obligatorisch.
    TypeOfWertToBeBlocked [Zeichenfolge] Der Typ des Werts, der in der Firewall blockiert werden soll: IP, URL oder Domäne.
    Firewall-IPAdresse [Zeichenfolge] Die IP-Adresse der Firewall.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 10. Ausgabevariablen
    Variable Beschreibung
    IpEDLName [Zeichenfolge] Der externe dynamische Listenname für IP-Adressen.
    UrlEDLName [Zeichenfolge] Der externe dynamische Listenname für URLs.
    DomainEDLName [Zeichenfolge] Der externe dynamische Listenname für Domänen.
    FirewallVersionSysId [Zeichenfolge] Die System-ID für die Firewall-Version.
    Refresh EDLCommand [Zeichenfolge] Der Befehl, der zum Aktualisieren der EDL aus der Quelle verwendet werden soll.
    ShowEDLDetailsCommand [Zeichenfolge] Der Befehl, der zum Abrufen der EDL-Details verwendet werden soll.
    Status [boolescher Wert] „Wahr“ gibt den Erfolg an. „Falsch“ gibt einen Fehler an.
    Fehler [Zeichenfolge] Der Fehler, falls vorhanden, der in der Aktion aufgetreten ist.
    Endpunkt [verschlüsselt] Der verschlüsselte Endpunkt aus der Datenbank.

    Palo Alto-Firewall: EDL-/DBL-Aktivität aktualisieren

    Diese Aktivität führt einen Betriebsbefehl für die Firewall aus, um die externe dynamische Liste aus der in der Firewall konfigurierten Quelle zu aktualisieren. Die Ausgabe dieser Aktivität gibt an, ob der Aktualisierungsauftrag in die Warteschlange gestellt wurde.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle aufgeführten Eingabevariablen-Einträge sind obligatorisch.

    Tabelle : 11. Eingabevariablen
    Variable Beschreibung
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall, die aktualisiert wird.
    FirewallApiKey [Zeichenfolge] Der aktualisierte Firewall-API-Schlüssel.
    FirewallCommand [Zeichenfolge] Der Betriebsbefehl, der ausgeführt werden soll, um den Aktualisierungsauftrag in die Warteschlange zu stellen.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 12. Ausgabevariablen
    Variable Beschreibung
    Aktivität.Ausgabe.Ergebnis [Zeichenfolge] Eine Textzeichenfolge, die angibt, ob der Aktualisierungsauftrag zur Ausführung in die Warteschlange gestellt wurde: Erfolg oder Fehler.