[Security Operations Palo Alto Networks - 値のチェックとブロック (Security Operations Palo Alto Networks - Check and Block Value)] ワークフロー

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:9分

    • 潜在的な脅威を特定するためにセキュリティインシデントが作成され、トリアージされるため、[Security Operations Palo Alto Networks - 値のチェックとブロック (Security Operations Palo Alto Networks - Check and Block Value)] ワークフローを使用して、Palo Alto Networks - Firewall で定義された外部動的リストを使用して IP アドレス、URL、およびドメインを自動的にチェックおよび更新できます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    ファイアウォールブロック要求が送信されると、[Security Operations Palo Alto Networks - 値のチェックとブロック (Security Operations Palo Alto Networks - Check and Block Value)] ワークフローが実行されます。ブロック要求では、使用するファイアウォール、チェックおよびブロックする観測事象のタイプ (必要な場合)、およびブロック値を指定します。つまり、問題の IP アドレス、URL、またはドメインです。

    ワークフローの実行中に、 Palo Alto Networks Integration > ファイアウォール > コマンド 実行されています。表示タイプのコマンド (Show-IP-ExternalDynamicList など) は、値がファイアウォールに存在するかどうかを判断します。リフレッシュタイプのコマンド (Refresh-IP-ExternalDynamicList など) は、ファイアウォールに存在しない値をブロックリストに追加します。

    [ブロック済みステータス] アクティビティが実行された後、ワークフローを続行するには、システムアドミニストレーターによる承認が必要です。

    図 : 1. [Security Operations Palo Alto Networks - 値のチェックとブロック (Security Operations Palo Alto Networks - Check and Block Value)] ワークフロー
    [Palo Alto Networks ファイアウォール - チェックとブロック (Palo Alto Networks Firewall - Check and Block)] ワークフロー

    手順

    1. 次のように移動する。 Palo Alto Networks Integration > ファイアウォール > ブロック要求.
    2. [New] をクリックします。
    3. 必要に応じて、フォームのフィールドに入力します。
      フィールド 説明
      ファイアウォール 使用するファイアウォールを選択します。
      ブロックタイプ チェックする値のタイプを選択します。
      • IP
      • URL
      • DOMAIN
      ブロック値 ファイアウォールでチェックする、選択したタイプの値を入力します。
    4. [Submit] をクリックします。

    [Palo Alto ファイアウォール:ブロック要求ステータス] アクティビティ

    このアクティビティは、他のアクティビティによって呼び出され、ファイアウォールブロック要求のステータスを成功または失敗に設定します。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。

    表 : 1. 入力変数
    変数 説明
    firewallBlockRequestSysid [文字列] ファイアウォールブロック要求のシステム ID。この入力変数は必須です。
    status [文字列] リフレッシュジョブが実行されたかどうかを success または failure で示します。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。

    表 : 2. 出力変数
    変数 説明
    result [文字列] リフレッシュジョブの成功または失敗を示します。

    [Palo Alto ファイアウォール:ブロック値] アクティビティ

    ワークフローがファイアウォール上にない値を識別すると、レコードは承認のためにルーティングされます。承認されると、このアクティビティは SSH 認証情報を介して MID サーバーに接続し、ファイアウォールの外部ブロックリストに値を追加するスクリプトを呼び出します。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。
    注:
    このアクティビティの入力変数を手動で入力し、ワークフローを公開する必要があります。ワークフローが公開されていない場合、アドミン以外のユーザーでは入力変数は保存されません。
    表 : 3. 入力変数
    変数 説明
    toBeBlockedValue [文字列] EDL に追加される値 (まだ存在しない場合)。この入力変数は必須です。
    typeToBeBlocked [文字列] ブロックする値のタイプ:IP、URL、またはドメイン。この入力変数は必須です。
    targetHost [文字列] スクリプトが実行される MID サーバー。
    SSHCredentialTag [文字列] MID サーバーで定義された SSH 認証情報タグ
    scriptCommand [文字列] EDL に値を追加するために使用される AppendValueToList.sh スクリプト。MID サーバーへの完全パスが必要です。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。

    表 : 4. 出力変数
    変数 説明
    result [文字列] EDL に渡される結果。

    [Palo Alto ファイアウォール:ブロック済みステータス] アクティビティ

    このアクティビティは、値 (IP、URL、またはドメイン) がファイアウォールのそれぞれの外部動的リスト/動的ブロックリスト (EDL/DBL) に含まれているかどうかを確認します。操作コマンドを使用してファイアウォールから EDL/DBL の詳細を取得し、ファイアウォールで値がブロックされているかどうかを確認するルーチンを実行します。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。リストされているすべての入力変数エントリーは必須です。

    表 : 5. 入力変数
    変数 説明
    valueToBeChecked [文字列] ブロック要求の値。
    showEDLDetailsCommand [文字列] 値がファイアウォールに存在するかどうかを判断するために使用される外部動的リストコマンド。
    FirewallIpAddress [文字列] 使用されているファイアウォールの IP アドレス。
    FirewallApiKey [文字列] ファイアウォール API キー。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、Palo Alto ファイアウォール運用コマンド API メッセージを使用して動的に生成されたデータで構成されます。

    表 : 6. 出力変数
    変数 説明
    commandResult [文字列] showEDLDetailsCommand コマンドに対するファイアウォールからの結果。
    blockedStatus [ブール] True はブロックされていることを示します。False はブロックされていないことを示します。
    commandResponse [文字列] showEDLDetailsCommand コマンドに対してファイアウォールから取得された応答ステータス。

    Palo Alto ファイアウォール:API キー取得アクション

    このアクションでは、ファイアウォールから API キーを取得します。

    入力変数

    アクションの初期動作が、入力変数によって決まります。リストされているすべての入力変数エントリーは必須です。

    表 : 7. 入力変数
    変数 説明
    Username [文字列] ファイアウォールアドミンのユーザー名。
    Password [文字列] ファイアウォールアドミンのパスワード。
    FirewallIpAddress [文字列] ファイアウォールの IP アドレス。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。

    表 : 8. 出力変数
    変数 説明
    APIKey [文字列] ファイアウォール API キー。

    Palo Alto ファイアウォール:ファイアウォール構成を取得アクション

    [Palo Alto ファイアウォール:ファイアウォール構成を取得] フローアクションは、関連するすべてのファイアウォール構成情報をデータベースから取得し、後続のアクションで使用できるようにします。

    入力変数

    アクションの初期動作が、入力変数によって決まります。

    表 : 9. 入力変数
    変数 説明
    firewallSysid [文字列] ファイアウォールのシステム ID。この入力変数は必須です。
    typeOfValueToBeBlocked [文字列] ファイアウォールでブロックする値のタイプ:IP、URL、またはドメイン。
    firewallIPAddress [文字列] ファイアウォールの IP アドレス。

    出力変数

    出力変数には、後続のアクションで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。

    表 : 10. 出力変数
    変数 説明
    ipEDLName [文字列] IP アドレスの外部動的リスト名。
    urlEDLName [文字列] URL の外部動的リスト名。
    domainEDLName [文字列] ドメインの外部動的リスト名。
    firewallVersionSysId [文字列] ファイアウォールバージョンのシステム ID。
    refreshEDLCommand [文字列] ソースから EDL をリフレッシュするために使用するコマンド。
    ShowEDLDetailsCommand [文字列] EDL の詳細を取得するために使用するコマンド。
    status [ブール] True は成功を示します。False は失敗を示します。
    error [文字列] アクションで発生したエラー (ある場合)。
    endpoint [暗号化] データベースの暗号化されたエンドポイント。

    [Palo Alto ファイアウォール:EDL/DBL をリフレッシュ] アクティビティ

    このアクティビティは、ファイアウォール上で操作コマンドを実行して、ファイアウォール上に構成されたソースから外部動的リストをリフレッシュします。このアクティビティの出力は、リフレッシュジョブがキューに入れられているかどうかを示します。

    入力変数

    アクティビティの初期動作が、入力変数によって決まります。リストされているすべての入力変数エントリーは必須です。

    表 : 11. 入力変数
    変数 説明
    FirewallIpAddress [文字列] リフレッシュされるファイアウォールの IP アドレス。
    FirewallApiKey [文字列] リフレッシュされるファイアウォールの API キー。
    FirewallCommand [文字列] リフレッシュジョブをキューに入れるために実行する操作コマンド。

    出力変数

    出力変数には、後続のアクティビティで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。

    表 : 12. 出力変数
    変数 説明
    activity.Output.result [文字列] リフレッシュジョブが実行のためにキューに入れられたかどうかを示すテキスト文字列 (success または failure)。