로그 데이터 가져오기 워크플로우
, , 및 가 활성화된 경우 보안 인시던트 응답보안 인시던트의 옵저버블에 대한 소스 IP가 변경될 때 Security Operations Palo Alto Networks - 로그 데이터 가져오기 워크플로우가 자동으로 실행됩니다.Palo Alto Networks - Firewall위협 인텔리전스
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
프로시저
Palo Alto 방화벽: API 키 작업 가져오기
이 활동은 방화벽에서 API 키를 검색합니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다. 나열된 모든 입력 변수 항목은 필수입니다.
| 변수 | 설명 |
|---|---|
| 사용자 이름 [string] | 방화벽 관리자의 사용자 이름입니다. |
| 비밀번호 [string] | 방화벽 관리자 암호입니다. |
| FirewallIpAddress [문자열] | 방화벽의 IP 주소입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.
| 변수 | 설명 |
|---|---|
| APIKey [문자열] | 방화벽 API 키입니다. |
Palo Alto 방화벽: 방화벽 구성 작업 가져오기
Palo Alto 방화벽: 방화벽 구성 가져오기 워크플로우 활동은 데이터베이스에서 모든 관련 방화벽 구성 정보를 가져오고 후속 활동에서 사용할 수 있도록 합니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| firewallSysid [문자열] | 방화벽의 시스템 ID입니다. 이 입력 변수는 필수입니다. |
| typeOfValueToBeBlocked [문자열] | 방화벽에서 차단할 값의 유형(IP, URL 또는 도메인)입니다. |
| firewallIPAddress [문자열] | 방화벽의 IP 주소입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.
| 변수 | 설명 |
|---|---|
| ipEDLName [문자열] | IP 주소의 외부 동적 목록 이름입니다. |
| urlEDLName [문자열] | URL의 외부 동적 목록 이름입니다. |
| domainEDLName [문자열] | 도메인의 외부 동적 목록 이름입니다. |
| firewallVersionSysId [문자열] | 방화벽 버전의 시스템 ID입니다. |
| refreshEDLCommand [문자열] | 원본에서 EDL을 새로 고치는 데 사용할 명령입니다. |
| ShowEDLDetailsCommand [문자열] | EDL 상세 정보를 가져오는 데 사용할 명령입니다. |
| status [부울] | True는 성공을 나타냅니다. False는 실패를 나타냅니다. |
| error [문자열] | 활동에서 발생한 오류입니다(있는 경우). |
| 엔드포인트 [암호화됨] | 데이터베이스에서 암호화된 엔드포인트입니다. |
Palo Alto 방화벽 - 로그 활동 가져오기
Palo Alto 방화벽: 로그 가져오기 워크플로우 활동은 방화벽에서 로그를 검색하도록 쿼리를 예약하고 로그 데이터를 검색하는 데 사용되는 JobID를 반환합니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| FirewallIpAddress [문자열] | 방화벽의 IP 주소입니다. 이 입력 변수는 필수입니다. |
| FirewallApiKey [문자열] | 방화벽의 API 접근 키입니다. 이 입력 변수는 필수입니다. |
| FirewallLogType [문자열] | 검색할 로그 데이터의 유형입니다(위협으로 설정). 이 입력 변수는 필수입니다. |
| FirewallLogFilterQuery [문자열] | 방화벽에서 로그를 검색하기 위해 실행할 쿼리입니다. 이 입력 변수는 필수입니다. |
| LogDirection [문자열] | 로그를 가장 오래된 것부터(뒤로) 또는 가장 최근 것부터(앞으로) 표시할지 여부를 지정합니다. |
| LogNumber [문자열] | 검색할 로그 수를 지정합니다. |
| LogSkipCount [문자열] | 로그 검색을 수행할 때 건너뛸 로그 수를 지정합니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.
| 변수 | 설명 |
|---|---|
| QueuedJobID [문자열] | 방화벽에서 반환된 작업 ID입니다. |
| JobScheduled [문자열] | 작업이 방화벽으로 전송되었는지 여부(성공 또는 실패)를 지정합니다. |
| error [문자열] | 반환된 오류입니다. |
Palo Alto 방화벽 - 작업 데이터 작업 활동
Palo Alto 방화벽: 로그 가져오기 작업이 방화벽에 대한 검색 쿼리를 큐에 대기시키고 작업을 실행한 후 Palo Alto 방화벽: 작업 데이터 작업 작업이 방화벽에서 위협 로그 데이터를 검색합니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다. 모든 입력 필드는 필수입니다.
| 변수 | 설명 |
|---|---|
| FirewallIpAddress [문자열] | 방화벽의 IP 주소입니다. |
| FirewallApiKey [문자열] | 방화벽의 API 접근 키입니다. |
| JobID [문자열] | 대기 중인 작업의 ID입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.
| 변수 | 설명 |
|---|---|
| commandStatus [문자열] | 데이터가 방화벽에서 검색되었는지 여부(성공 또는 실패)를 지정합니다. |
| JobData [문자열] | 방화벽에서 수집된 데이터입니다. |
| error [문자열] | 반환된 오류입니다. |
첨부 파일 활동으로 기록할 컨텐츠 쓰기
이 활동은 입력에서 전달된 컨텐츠를 쓰고 지정된 첨부 파일을 지정된 기록에 생성합니다.
첨부 파일로 기록할 컨텐츠 쓰기 활동은 모든 워크플로우와 함께 컨텐츠를 작성하고 기록에 첨부하는 데 사용할 수 있습니다.
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| tableName [문자열] | 기록의 테이블 이름입니다. 이 입력 필드는 필수입니다. |
| sysid [문자열] | 작업 기록의 시스템 식별자(sys_id)입니다. 이 입력 필드는 필수입니다. |
| 페이로드 | 첨부 파일로 작성할 일반 텍스트 컨텐츠입니다. 이 입력 필드는 필수입니다. |
| 파일 이름 | 첨부 파일 이름입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| 결과 [string] | 업데이트가 성공했는지 여부를 나타냅니다. |