Security Operations Palo Alto Networks : vérifier et bloquer le workflow de valeur
Au fur et à mesure que des incidents de sécurité sont créés et triés pour identifier les menaces potentielles, vous pouvez utiliser le workflow Security Operations Palo Alto Networks - Vérifier et bloquer la valeur pour vérifier et mettre à jour automatiquement les adresses IP, les URL et les domaines à l’aide des listes dynamiques externes définies dans Palo Alto Networks - Firewall.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Lors de l’exécution du workflow, les commandes définies sous sont exécutés. Les commandes de type Show (par exemple, Show-IP-ExternalDynamicList) déterminent si la valeur existe sur le pare-feu. Les commandes de type d’actualisation (par exemple, Refresh-IP-ExternalDynamicList) ajoutent de la valeur qui n’existe pas sur le pare-feu à la liste de blocs.
Une fois l’activité Statut bloqué exécutée, l’approbation d’un administrateur système est requise pour que le workflow puisse continuer.
Procédure
Pare-feu Palo Alto : bloquer l’activité de l’état de la demande
Cette activité est appelée par d’autres activités pour définir l’état de la demande de bloc de pare-feu sur réussite ou échec.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| firewallBlockRequestSysid [chaîne] | L’ID système de la demande de bloc de pare-feu. Cette variable d’entrée est obligatoire. |
| état [chaîne] | Indique si la tâche d’actualisation a été exécutée : réussite ou échec. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans des activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| résultat [chaîne] | Indique la réussite ou l’échec de la tâche d’actualisation. |
Pare-feu Palo Alto : activité de la valeur de bloc
Une fois que le workflow a identifié une valeur qui n’est pas sur le pare-feu, l’enregistrement est acheminé pour approbation. Après approbation, cette activité se connecte au serveur MID via vos informations d’identification SSH et invoque un script qui ajoute la valeur à la liste de blocs externes du pare-feu.
Variables d'entrée
| Variable | Description |
|---|---|
| toBeBlockedValue [chaîne] | Valeur à ajouter à l’EDL si elle n’est pas déjà présente. Cette variable d’entrée est obligatoire. |
| typeToBeBlocked [chaîne] | Type de valeur à bloquer : IP, URL ou domaine. Cette variable d’entrée est obligatoire. |
| targetHost [chaîne] | Serveur MID sur lequel le script est exécuté. |
| SSHCredentialTag [chaîne] | La balise d’informations d’identification SSH définie sur le serveur MID. |
| scriptCommand [chaîne] | Script AppendValueToList.sh utilisé pour ajouter la valeur à l’EDL. Le chemin d’accès complet au serveur MID est nécessaire. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans des activités ultérieures.
| Variable | Description |
|---|---|
| résultat [chaîne] | Le résultat a été transmis à l’EDL. |
Pare-feu Palo Alto : activité d’état bloqué
Cette activité vérifie si la valeur (IP, URL ou domaine) est incluse dans sa liste dynamique externe/liste de blocs dynamiques (EDL/DBL) respective sur le pare-feu. Les détails de l’EDL/DBL sont obtenus à partir du pare-feu à l’aide d’une commande opérationnelle, et une routine est exécutée pour vérifier si la valeur est bloquée sur le pare-feu.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| valueToBeChecked [chaîne] | La valeur de la demande de bloc. |
| showEDLDetailsCommand [chaîne] | La commande Liste dynamique externe utilisée pour déterminer si la valeur existe sur le pare-feu. |
| FirewallIpAddress [chaîne] | L’adresse IP du pare-feu utilisé. |
| FirewallApiKey [chaîne] | Clé API du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans des activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement à l’aide du message API de commande opérationnelle du pare-feu Palo Alto.
| Variable | Description |
|---|---|
| commandResult [chaîne] | Les résultats du pare-feu pour la commande afficher les détails de l’EDL. |
| blockedStatus [booléen] | Vrai indique bloqué. Faux indique non bloqué. |
| commandResponse [chaîne] | L’état de la réponse obtenu à partir du pare-feu pour la commande afficher les détails de l’EDL. |
Pare-feu Palo Alto : obtenir une action de clé API
Cette action récupère la clé API à partir du pare-feu.
Variables d'entrée
Les variables d’entrée déterminent le comportement initial de l’action. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| Nom d’utilisateur [chaîne] | Le nom d’utilisateur de l’administrateur du pare-feu. |
| Mot de passe [chaîne] | Mot de passe administrateur du pare-feu. |
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| APIKey [chaîne] | Clé API du pare-feu. |
Pare-feu Palo Alto : action Obtenir la configuration du pare-feu
L’action de flux Palo Alto Firewall : Get Firewall Config accède à toutes les informations de configuration du pare-feu connexes à partir de la base de données et les rend disponibles pour utilisation par l’action suivante.
Variables d'entrée
Les variables d’entrée déterminent le comportement initial de l’action.
| Variable | Description |
|---|---|
| firewallSysid [chaîne] | ID système du pare-feu. Cette variable d’entrée est obligatoire. |
| typeOfValueToBeBlocked [chaîne] | Type de valeur à bloquer sur le pare-feu : IP, URL ou Domaine. |
| firewallIPAddress [chaîne] | Adresse IP du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| ipEDLName [chaîne] | Nom de la liste dynamique externe pour les adresses IP. |
| urlEDLName [chaîne] | Nom de la liste dynamique externe pour les URL. |
| domaineEDLName [chaîne] | Nom de la liste dynamique externe pour les domaines. |
| firewallVersionSysId [chaîne] | ID système de la version du pare-feu. |
| refreshEDLCommand [chaîne] | Commande à utiliser pour actualiser l’EDL à partir de la source. |
| ShowEDLDetailsCommand [chaîne] | La commande à utiliser pour obtenir les détails de l’EDL. |
| état [booléen] | Vrai indique la réussite. Faux indique un échec. |
| erreur [chaîne] | Erreur, le cas échéant, qui s’est produite dans l’action. |
| point de terminaison [chiffré] | Point de terminaison chiffré à partir de la base de données. |
Palo Alto Firewall : actualiser l’activité EDL/DBL
Cette activité exécute une commande opérationnelle sur le pare-feu pour actualiser la liste dynamique externe à partir de la source configurée sur le pare-feu. Le résultat de cette activité indique si la tâche d’actualisation a été mise en file d’attente.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| FirewallIpAddress [chaîne] | L’adresse IP du pare-feu en cours d’actualisation. |
| FirewallApiKey [chaîne] | La clé API de pare-feu actualisée. |
| FirewallCommand [chaîne] | Commande opérationnelle à exécuter pour mettre en file d’attente la tâche d’actualisation. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans des activités ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| activité. Sortie.résultat [chaîne] | Chaîne de texte indiquant si la tâche d’actualisation a été mise en file d’attente pour s’exécuter : réussite ou échec. |