ログデータ取得フロー

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • セキュリティインシデントレスポンス脅威インテリジェンス、および Palo Alto Networks - Firewall が有効になっている場合、セキュリティインシデント内の観測事象のソース IP が変更されると、[Security Operations Palo Alto Networks - ログデータの取得] フローが自動的に実行されます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    フローの実行中、ファイアウォール構成情報がデータベースから取得され、API キーがファイアウォールから取得されます。「ログを取得」アクションは、ファイアウォールで検索クエリをキューに入れます。クエリが実行されると、ファイアウォールから脅威ログデータを取得するために使用されるジョブ ID が返されます。ログデータを XML ファイルとしてセキュリティインシデントに添付します。
    図 : 1. [Security Operations Palo Alto Networks - ログデータを取得] フロー
    [ログデータの取得] フロー

    手順

    1. 観測事象を含むセキュリティインシデントに移動します。
    2. [セキュリティインシデント観測事象 (Security Incident Observables)] タブをクリックします。
    3. [ソース IP] で、IP アドレスを追加または変更します。
    4. [Update (更新)] をクリックします。
      [Security Operations Palo Alto Networks - ログデータを取得] フローが実行され、拡張された脅威ログデータがセキュリティインシデントに添付されます。この情報は解析され、[拡張データ] タブの [ファイアウォールログ] セクションにも表示されます。

    Palo Alto ファイアウォール:API キー取得アクション

    このアクションでは、ファイアウォールから API キーを取得します。

    入力変数

    アクションの初期動作が、入力変数によって決まります。リストされているすべての入力変数エントリーは必須です。

    表 : 1. 入力変数
    変数 説明
    Username [文字列] ファイアウォールアドミンのユーザー名。
    Password [文字列] ファイアウォールアドミンのパスワード。
    FirewallIpAddress [文字列] ファイアウォールの IP アドレス。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。

    表 : 2. 出力変数
    変数 説明
    APIKey [文字列] ファイアウォール API キー。

    Palo Alto ファイアウォール:ファイアウォール構成を取得アクション

    [Palo Alto ファイアウォール:ファイアウォール構成を取得] フローアクションは、関連するすべてのファイアウォール構成情報をデータベースから取得し、後続のアクションで使用できるようにします。

    入力変数

    アクションの初期動作が、入力変数によって決まります。

    表 : 3. 入力変数
    変数 説明
    firewallSysid [文字列] ファイアウォールのシステム ID。この入力変数は必須です。
    typeOfValueToBeBlocked [文字列] ファイアウォールでブロックする値のタイプ:IP、URL、またはドメイン。
    firewallIPAddress [文字列] ファイアウォールの IP アドレス。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。

    表 : 4. 出力変数
    変数 説明
    ipEDLName [文字列] IP アドレスの外部動的リスト名。
    urlEDLName [文字列] URL の外部動的リスト名。
    domainEDLName [文字列] ドメインの外部動的リスト名。
    firewallVersionSysId [文字列] ファイアウォールバージョンのシステム ID。
    refreshEDLCommand [文字列] ソースから EDL をリフレッシュするために使用するコマンド。
    ShowEDLDetailsCommand [文字列] EDL の詳細を取得するために使用するコマンド。
    status [ブール] True は成功を示します。False は失敗を示します。
    error [文字列] アクションで発生したエラー (ある場合)。
    endpoint [暗号化] データベースの暗号化されたエンドポイント。

    Palo Alto ファイアウォール:ログ取得アクション

    [Palo Alto ファイアウォール:ログを取得] フローアクションは、ログを取得するためにファイアウォールでクエリをスケジュールし、ログデータの取得に使用される JobID を返します。

    入力変数

    アクションの初期動作が、入力変数によって決まります。

    表 : 5. 入力変数
    変数 説明
    FirewallIpAddress [文字列] ファイアウォールの IP アドレス。この入力変数は必須です。
    FirewallApiKey [文字列] ファイアウォールの API アクセスキー。この入力変数は必須です。
    FirewallLogType [文字列] 取得するログデータのタイプ (threat に設定)。この入力変数は必須です。
    FirewallLogFilterQuery [文字列] ファイアウォール上のログを検索するために実行されるクエリ。この入力変数は必須です。
    LogDirection [文字列] ログの表示を古い順にするか (逆方向)、新しい順 (順方向) にするかを指定します。
    LogNumber [文字列] 取得するログの数を指定します。
    LogSkipCount [文字列] ログ取得時にスキップするログの数を指定します。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。

    表 : 6. 出力変数
    変数 説明
    QueuedJobID [文字列] ファイアウォールから返されたジョブ ID。
    JobScheduled [文字列] ジョブがファイアウォールに送信されたかどうか (成功または失敗) を指定します。
    error [文字列] 返されたエラー。

    Palo Alto ファイアウォール:ジョブデータアクション

    [Palo Alto ファイアウォール:ログを取得] アクションが検索クエリをファイアウォールにキューに入れてジョブを実行した後、[Palo Alto ファイアウォール:ジョブデータアクション] アクションがファイアウォールから脅威ログデータを取得します。

    入力変数

    アクションの初期動作が、入力変数によって決まります。すべての入力フィールドは必須です。

    表 : 7. 入力変数
    変数 説明
    FirewallIpAddress [文字列] ファイアウォールの IP アドレス。
    FirewallApiKey [文字列] ファイアウォールの API アクセスキー。
    JobID [文字列] キューに格納されたジョブの ID。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。

    表 : 8. 出力変数
    変数 説明
    commandStatus [文字列] データがファイアウォールから取得されたかどうか (成功または失敗) を指定します。
    JobData [文字列] ファイアウォールから収集されたデータ。
    error [文字列] 返されたエラー。