로그 데이터 플로우 가져오기

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • , , 및 Palo Alto Networks - Firewall 활성화되면 보안 인시던트의 옵저버블에 대한 소스 IP가 변경될 때 보안 운영 Palo Alto Networks - 로그 데이터 가져오기 플로우가 자동으로 실행됩니다. 위협 인텔리전스보안 인시던트 응답

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    플로우 실행 중에 데이터베이스에서 방화벽 구성 정보가 검색되고 방화벽에서 API 키가 검색됩니다. 로그 가져오기 작업은 방화벽에서 검색 쿼리를 큐에 대기시킵니다. 쿼리가 실행되면 방화벽에서 위협 로그 데이터를 검색하는 데 사용되는 작업 ID가 반환됩니다. 로그 데이터를 XML 파일로 보안 인시던트에 첨부합니다.
    그림 1. 보안 운영 Palo Alto Networks - 로그 데이터 가져오기 플로우
    로그 데이터 플로우 가져오기

    프로시저

    1. 옵저버블이 포함된 보안 인시던트로 이동합니다.
    2. 보안 인시던트 옵저버블 탭을 클릭합니다.
    3. 소스 IP에서 IP 주소를 추가하거나 수정합니다.
    4. 업데이트를 클릭합니다.
      보안 운영 Palo Alto Networks - 로그 데이터 가져오기 플로우가 실행되고 보강된 위협 로그 데이터가 보안 인시던트에 첨부됩니다. 또한 이 정보는 구문 분석되어 보강 데이터 탭 아래의 방화벽 로그 섹션에 표시됩니다.

    Palo Alto 방화벽: API 키 가져오기 작업

    이 작업은 방화벽에서 API 키를 검색합니다.

    입력 변수

    입력 변수는 작업의 초기 동작을 결정합니다. 나열된 모든 입력 변수 항목은 필수입니다.

    표 1. 입력 변수
    변수 설명
    사용자 이름 [string] 방화벽 관리자의 사용자 이름입니다.
    암호 [string] 방화벽 관리자 암호입니다.
    FirewallIpAddress [문자열] 방화벽의 IP 주소입니다.

    출력 변수

    출력 변수에는 후속 작업에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 2. 출력 변수
    변수 설명
    APIKey [문자열] 방화벽 API 키입니다.

    Palo Alto 방화벽: 방화벽 구성 작업 가져오기

    Palo Alto 방화벽: 방화벽 구성 가져오기 플로우 작업은 데이터베이스에서 모든 관련 방화벽 구성 정보를 가져오고 후속 작업에서 사용할 수 있도록 합니다.

    입력 변수

    입력 변수는 작업의 초기 동작을 결정합니다.

    표 3. 입력 변수
    변수 설명
    firewallSysid [문자열] 방화벽의 시스템 ID입니다. 이 입력 변수는 필수입니다.
    typeOfValueToBeBlocked [문자열] 방화벽에서 차단할 값의 유형입니다(IP, URL 또는 도메인).
    firewallIPAddress [문자열] 방화벽의 IP 주소입니다.

    출력 변수

    출력 변수에는 후속 작업에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 4. 출력 변수
    변수 설명
    ipEDLName [문자열] IP 주소의 외부 동적 목록 이름입니다.
    urlEDLName [문자열] URL의 외부 동적 목록 이름입니다.
    domainEDLName [문자열] 도메인의 외부 동적 목록 이름입니다.
    firewallVersionSysId [문자열] 방화벽 버전의 시스템 ID입니다.
    refreshEDLCommand [문자열] 소스에서 EDL을 새로 고치는 데 사용할 명령입니다.
    ShowEDLDetailsCommand [문자열] EDL 상세 정보를 가져오는 데 사용할 명령입니다.
    status [부울] 예는 성공을 나타냅니다. False는 실패를 나타냅니다.
    오류 [string] 작업에서 발생한 오류(있는 경우)입니다.
    엔드포인트 [Encrypted] 데이터베이스의 암호화된 엔드포인트입니다.

    Palo Alto 방화벽 - 로그 작업 가져오기

    Palo Alto 방화벽: 로그 가져오기 플로우 작업은 방화벽에 대한 쿼리를 예약하여 로그를 검색하고 로그 데이터를 검색하는 데 사용되는 JobID를 반환합니다.

    입력 변수

    입력 변수는 작업의 초기 동작을 결정합니다.

    표 5. 입력 변수
    변수 설명
    FirewallIpAddress [문자열] 방화벽의 IP 주소입니다. 이 입력 변수는 필수입니다.
    FirewallApiKey [문자열] 방화벽의 API 액세스 키입니다. 이 입력 변수는 필수입니다.
    FirewallLogType [문자열] 검색할 로그 데이터의 유형입니다(위협으로 설정). 이 입력 변수는 필수입니다.
    FirewallLogFilterQuery [문자열] 방화벽에서 로그를 검색하기 위해 실행할 쿼리입니다. 이 입력 변수는 필수입니다.
    LogDirection [문자열] 로그를 가장 오래된 순(뒤로) 또는 최신 순(앞으로) 표시할지 여부를 지정합니다.
    LogNumber [문자열] 검색할 로그 수를 지정합니다.
    LogSkipCount [문자열] 로그 검색을 수행할 때 건너뛸 로그 수를 지정합니다.

    출력 변수

    출력 변수에는 후속 작업에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 6. 출력 변수
    변수 설명
    QueuedJobID [문자열] 방화벽에서 반환된 작업 ID입니다.
    JobScheduled [문자열] 작업을 방화벽으로 보냈는지 여부(성공 또는 실패)를 지정합니다.
    오류 [string] 반환된 모든 오류입니다.

    Palo Alto 방화벽 - 작업 데이터 작업

    Palo Alto 방화벽: 로그 가져오기 작업이 검색 쿼리를 대기하도록 방화벽에 보내고 작업이 실행되면 Palo Alto 방화벽: 작업 데이터 작업 작업이 방화벽에서 위협 로그 데이터를 검색합니다.

    입력 변수

    입력 변수는 작업의 초기 동작을 결정합니다. 모든 입력 필드는 필수입니다.

    표 7. 입력 변수
    변수 설명
    FirewallIpAddress [문자열] 방화벽의 IP 주소입니다.
    FirewallApiKey [문자열] 방화벽의 API 액세스 키입니다.
    JobID [문자열] 큐에 대기 중인 작업의 ID입니다.

    출력 변수

    출력 변수에는 후속 작업에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 8. 출력 변수
    변수 설명
    명령 상태 [문자열] 방화벽에서 데이터를 검색했는지 여부(성공 또는 실패)를 지정합니다.
    JobData [문자열] 방화벽에서 수집한 데이터입니다.
    오류 [string] 반환된 모든 오류입니다.