Obter fluxo de dados de log

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Se Resposta a incidentes de segurança, Inteligência contra ameaças e Palo Alto Networks - Firewall estão ativados, o. Operações de segurança Palo Alto Networks - Obter dados de log O fluxo é executado automaticamente quando o IP de origem dos observáveis em um incidente de segurança é alterado.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Durante a execução do fluxo, as informações de configuração do firewall são recuperadas do banco de dados e a chave de API é recuperada do firewall. A ação Obter log enfila uma consulta de pesquisa no firewall. Quando a consulta é executada, ela retorna um ID de trabalho que é usado para recuperar dados de logs de ameaças do firewall. Anexa os dados de log como um arquivo XML ao incidente de segurança.
    Figura 1. Palo Alto Networks de operações de segurança - Obter fluxo de dados de log
    Fluxo de dados de log

    Procedimento

    1. Navegue até um incidente de segurança que contém observáveis.
    2. Clique em Observáveis de incidentes de segurança guia.
    3. Em IP de origem , Adicione ou modifique o endereço IP.
    4. Clique em Atualizar.
      . Operações de segurança Palo Alto Networks - Obter dados de log o fluxo é executado e os dados de log de ameaças aprimorados são anexados ao incidente de segurança. As informações também são analisadas e exibidas no Logs do firewall seção em Dados de aprimoramento guia.

    Palo Alto Firewall: Obter ação de chave de API

    Esta ação recupera a chave de API do firewall.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da ação. Todas as entradas de variáveis de entrada listadas são obrigatórias.

    Tabela 1. Variáveis de entrada
    Variável Descrição
    Nome de usuário [cadeia de caracteres] O nome de usuário do administrador do firewall.
    Senha [cadeia de caracteres] A senha do administrador do firewall.
    FirewallIpAddress [cadeia de caracteres] O endereço IP do firewall.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.

    Tabela 2. Variáveis de saída
    Variável Descrição
    APIKey [cadeia de caracteres] A chave de API do firewall.

    Palo Alto Firewall: Obter ação de configuração do firewall

    . Palo Alto Firewall: Obter configuração de firewall a ação de fluxo obtém todas as informações de configuração de firewall relacionadas do banco de dados e as disponibiliza para uso pela ação subsequente.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da ação.

    Tabela 3. Variáveis de entrada
    Variável Descrição
    FirewallSysid [cadeia de caracteres] O ID do sistema do firewall. Esta variável de entrada é obrigatória.
    TypeOfValueToBeBlocked [cadeia de caracteres] O tipo de valor a ser bloqueado no firewall: IP, URL ou Domínio.
    FirewallIPAddress [cadeia de caracteres] O endereço IP do firewall.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.

    Tabela 4. Variáveis de saída
    Variável Descrição
    IpEDLName [cadeia de caracteres] O nome da lista dinâmica externa para endereços IP.
    UrlEDLName [cadeia de caracteres] O nome da lista dinâmica externa para URLs.
    DomainEDLName [cadeia de caracteres] O nome da Lista dinâmica externa para domínios.
    FirewallVersionSysId [cadeia de caracteres] O ID do sistema da versão do firewall.
    RefreshEDLCommand [cadeia de caracteres] O comando a ser usado para atualizar o EDL da origem.
    ShowEDLDetalhsCommand [cadeia de caracteres] O comando a ser usado para obter os detalhes do EDL.
    Status [booliano] Verdadeiro indica sucesso. Falso indica falha.
    erro [cadeia de caracteres] O erro, se houver, que ocorreu na ação.
    Endpoint [criptografado] O endpoint criptografado do banco de dados.

    Palo Alto Firewall- Obter ação de log

    . Palo Alto Firewall: Obter log A ação de fluxo agenda uma consulta no firewall para recuperar logs e retorna um JOBID usado para recuperar os dados do log.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da ação.

    Tabela 5. Variáveis de entrada
    Variável Descrição
    FirewallIpAddress [cadeia de caracteres] O endereço IP do firewall. Esta variável de entrada é obrigatória.
    FirewallApiKey [cadeia de caracteres] A chave de acesso à API do firewall. Esta variável de entrada é obrigatória.
    FirewallLogType [cadeia de caracteres] O tipo de dados de log a serem recuperados (definido como Ameaça). Esta variável de entrada é obrigatória.
    FirewallLogFilterQuery [cadeia de caracteres] A consulta a ser executada para pesquisar logs no firewall. Esta variável de entrada é obrigatória.
    LogDirection [cadeia de caracteres] Especifica se os logs são mostrados mais antigos primeiro (para trás) ou mais recentes primeiro (para frente).
    LogNumber [cadeia de caracteres] Especifica o número de logs a serem recuperados.
    LogSkipCount [cadeia de caracteres] Especifica o número de logs a serem ignorados ao fazer uma recuperação de log.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.

    Tabela 6. Variáveis de saída
    Variável Descrição
    QueuedJOBID [cadeia de caracteres] O ID do trabalho retornado do firewall.
    JobScheduled [cadeia de caracteres] Especifica (sucesso ou falha) se o trabalho foi enviado para o firewall.
    erro [cadeia de caracteres] Todos os erros retornados.

    Palo Alto Firewall- Ação de dados de trabalho

    Após Palo Alto Firewall: Obter log a ação fila a consulta de pesquisa para o firewall e o trabalho é executado, o. Palo Alto Firewall: Ação de dados de trabalho a ação recupera os dados do log de ameaças do firewall.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da ação. Todos os campos de entrada são obrigatórios.

    Tabela 7. Variáveis de entrada
    Variável Descrição
    FirewallIpAddress [cadeia de caracteres] O endereço IP do firewall.
    FirewallApiKey [cadeia de caracteres] A chave de acesso à API do firewall.
    JOBID [cadeia de caracteres] O ID do trabalho enfileirado.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente.

    Tabela 8. Variáveis de saída
    Variável Descrição
    CommandStatus [cadeia de caracteres] Especifica (sucesso ou falha) se os dados foram recuperados do firewall.
    JobData [cadeia de caracteres] Os dados coletados do firewall.
    erro [cadeia de caracteres] Todos os erros retornados.