Security Operations Palo Alto Networks – Workflow zum Überprüfen und Sperren von Werten
Während Security Incidents erstellt und selektiert werden, um potenzielle Bedrohungen zu identifizieren, können Sie den Workflow „Security Operations Palo Alto Networks – Wert prüfen und blockieren“ verwenden, um IP-Adressen, URLs und Domänen mithilfe von externen dynamischen Listen, die in Palo Alto Networks – Firewalldefiniert sind, automatisch zu überprüfen und zu aktualisieren.
Vorbereitungen
Erforderliche Rolle: sn_si.analyst
Warum und wann dieser Vorgang ausgeführt wird
Während der Workflow-Ausführung die unter definierten Befehle werden ausgeführt. Die Typbefehle anzeigen (z. B. Show-IP-ExternalDynamicList) bestimmen, ob der Wert auf der Firewall vorhanden ist. Die Typaktualisierungsbefehle (z. B. Refresh-IP-ExternalDynamicList) fügen der Sperrliste Werte hinzu, die in der Firewall nicht vorhanden sind.
Nachdem die Aktivität „ Blockierter Status “ ausgeführt wurde, ist die Genehmigung durch einen Systemadministrator erforderlich, bevor der Workflow fortgesetzt werden kann.
Prozedur
Aktivität „Palo Alto Firewall – Block Request Status“
Diese Aktivität wird von anderen Aktivitäten aufgerufen, um den Status der Firewall-Blockanforderung auf Erfolg oder Fehler festzulegen.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| firewallBlockRequestSysid [Zeichenfolge] | Die System-ID der Firewall-Blockierungsanforderung. Diese Eingabevariable ist obligatorisch. |
| Status [Zeichenfolge] | Gibt an, ob der Aktualisierungsauftrag ausgeführt wurde: Erfolg oder Fehler. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.
| Variable | Beschreibung |
|---|---|
| Ergebnis [Zeichenfolge] | Gibt an, ob der Aktualisierungsauftrag erfolgreich war oder fehlgeschlagen ist. |
Palo Alto-Firewall – Aktivität „Blockwert“.
Nachdem der Workflow einen Wert identifiziert hat, der sich nicht in der Firewall befindet, wird der Datensatz zur Genehmigung weitergeleitet. Nach der Genehmigung stellt diese Aktivität über Ihre SSH-Anmeldeinformationen eine Verbindung zum MID Server her und ruft ein Skript auf, das den Wert der externen Sperrliste der Firewall hinzufügt.
Eingabevariablen
| Variable | Beschreibung |
|---|---|
| toBeBlockedValue [Zeichenfolge] | Der Wert, der der EDL hinzugefügt werden soll, falls noch nicht vorhanden. Diese Eingabevariable ist obligatorisch. |
| typeToBeBlocked [Zeichenfolge] | Der Typ des zu blockierenden Werts: IP, URL oder Domäne. Diese Eingabevariable ist obligatorisch. |
| targetHost [Zeichenfolge] | Der MID Server, auf dem das Skript ausgeführt wird. |
| SSHCredentialTag [Zeichenfolge] | Das auf dem MID-Server definierte SSH-Anmeldeinformations-Tag. |
| scriptCommand [Zeichenfolge] | Das AppendValueToList.sh-Skript, das zum Hinzufügen des Werts zur EDL verwendet wird. Sie erfordert den vollständigen Pfad zum MID Server. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Ergebnis [Zeichenfolge] | Das an die EDL übergebene Ergebnis. |
Palo Alto-Firewall – Aktivität „Blockierter Status“.
Diese Aktivität überprüft, ob der Wert (IP, URL oder Domäne) in der jeweiligen externen dynamischen Liste/dynamischen Sperrliste (EDL/DBL) auf der Firewall enthalten ist. Die EDL/DBL-Details werden mit einem operativen Befehl von der Firewall abgerufen, und eine Routine wird ausgeführt, um zu überprüfen, ob der Wert auf der Firewall blockiert ist.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle aufgeführten Eingabevariableneinträge sind obligatorisch.
| Variable | Beschreibung |
|---|---|
| valueToBeChecked [Zeichenfolge] | Der Wert in der Blockanforderung. |
| showEDLDetailsCommand [Zeichenfolge] | Der Befehl „Externe dynamische Liste“, der verwendet wird, um zu bestimmen, ob der Wert auf der Firewall vorhanden ist. |
| FirewallIpAddress [Zeichenfolge] | Die IP-Adresse der verwendeten Firewall. |
| FirewallApiKey [Zeichenfolge] | Der Firewall-API-Schlüssel. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie Daten, die dynamisch mit der Palo Alto Firewall Operational Command-API-Nachricht generiert werden.
| Variable | Beschreibung |
|---|---|
| commandResult [Zeichenfolge] | Die Ergebnisse der Firewall für den Befehl show EDL Details. |
| blockiertStatus [Boolean] | „True“ zeigt an, dass blockiert ist. „False“ gibt an, dass der Wert nicht blockiert ist. |
| commandResponse [Zeichenfolge] | Der von der Firewall erhaltene Antwortstatus für den Befehl show EDL Details. |
Palo Alto-Firewall: Aktivität „API-Schlüssel abrufen“.
Mit dieser Aktivität wird der API-Schlüssel von der Firewall abgerufen.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle aufgeführten Eingabevariableneinträge sind obligatorisch.
| Variable | Beschreibung |
|---|---|
| Benutzername [Zeichenfolge] | Der Benutzername des Firewall-Administrators. |
| Passwort [Zeichenfolge] | Das Firewall-Administratorpasswort |
| FirewallIpAddress [Zeichenfolge] | IP-Adresse der Firewall |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.
| Variable | Beschreibung |
|---|---|
| APIKey [Zeichenfolge] | Der Firewall-API-Schlüssel. |
Palo Alto-Firewall: Aktivität „Firewall-Konfiguration abrufen“.
Die Workflow-Aktivität „Palo Alto Firewall: Firewall-Konfiguration abrufen“ ruft alle zugehörigen Firewall-Konfigurationsinformationen aus der Datenbank ab und stellt sie der nachfolgenden Aktivität zur Verfügung.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| firewallSysid [Zeichenfolge] | System-ID der Firewall Diese Eingabevariable ist obligatorisch. |
| typeOfValueToBeBlocked [Zeichenfolge] | Der Typ des Werts, der auf der Firewall blockiert werden soll: IP, URL oder Domäne. |
| firewallIPAddress [Zeichenfolge] | IP-Adresse der Firewall |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.
| Variable | Beschreibung |
|---|---|
| ipEDLName [Zeichenfolge] | Der Name der externen dynamischen Liste für IP-Adressen. |
| urlEDLName [Zeichenfolge] | Der Name der externen dynamischen Liste für URLs. |
| domainEDLName [Zeichenfolge] | Der Name der externen dynamischen Liste für Domänen. |
| firewallVersionSysId [Zeichenfolge] | Die System-ID für die Firewall-Version. |
| refreshEDLCommand [Zeichenfolge] | Der Befehl, der zum Aktualisieren der EDL aus der Quelle verwendet werden soll. |
| ShowEDLDetailsCommand [Zeichenfolge] | Der Befehl, der zum Abrufen der EDL-Details verwendet werden soll. |
| Status [Boolean] | „True“ zeigt Erfolg an. „False“ zeigt einen Fehler an. |
| Fehler [Zeichenfolge] | Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden. |
| Endpunkt [Verschlüsselt] | Der verschlüsselte Endpunkt aus der Datenbank. |
Palo Alto-Firewall: EDL/DBL-Aktivität aktualisieren
Diese Aktivität führt einen operativen Befehl auf der Firewall aus, um die externe dynamische Liste aus der auf der Firewall konfigurierten Quelle zu aktualisieren. Die Ausgabe dieser Aktivität gibt an, ob der Aktualisierungsauftrag in die Warteschlange gestellt wurde.
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle aufgeführten Eingabevariableneinträge sind obligatorisch.
| Variable | Beschreibung |
|---|---|
| FirewallIpAddress [Zeichenfolge] | Die IP-Adresse der Firewall, die aktualisiert wird |
| FirewallApiKey [Zeichenfolge] | Der aktualisierte Firewall-API-Schlüssel. |
| FirewallCommand [Zeichenfolge] | Der operative Befehl, der ausgeführt werden soll, um den Aktualisierungsauftrag in die Warteschlange zu stellen. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie dynamisch generierten Daten.
| Variable | Beschreibung |
|---|---|
| activity.Output.result [Zeichenfolge] | Eine Textzeichenfolge, die angibt, ob der Aktualisierungsauftrag zur Ausführung in die Warteschlange gestellt wurde: Erfolg oder Fehler. |