Obtenir le workflow des données de journal
Si Réponse aux incidents de sécurité, Renseignements sur les menacesPalo Alto Networks - Firewall et sont activés, le workflow Security Operations Palo Alto Networks - Obtenir les données de journal s’exécute automatiquement lorsque l’adresse IP source pour les observables dans un incident de sécurité est modifiée.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Procédure
Pare-feu Palo Alto : obtenir l’activité de clé API
Cette activité récupère la clé API du pare-feu.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| Nom d’utilisateur [string] | Nom d’utilisateur de l’administrateur du pare-feu. |
| Mot de passe [string] | Le mot de passe de l’administrateur du pare-feu. |
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| APIKey [chaîne] | Clé API du pare-feu. |
Pare-feu Palo Alto : obtenir l’activité de configuration du pare-feu
L’activité de workflow Pare-feu Palo Alto : obtenir la configuration du pare-feu accède à toutes les informations de configuration de pare-feu connexes à partir de la base de données et les rend disponibles pour l’activité suivante.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| firewallSysid [chaîne] | ID système du pare-feu. Cette variable d’entrée est obligatoire. |
| typeOfValueToBeBlocked [chaîne] | Type de valeur à bloquer sur le pare-feu : IP, URL ou Domaine. |
| pare-feuIPAddress [chaîne] | Adresse IP du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| ipEDLName [chaîne] | Nom de la liste dynamique externe pour les adresses IP. |
| urlEDLName [chaîne] | Nom de la liste dynamique externe pour les URL. |
| domainEDLName [chaîne] | Nom de la liste dynamique externe pour les domaines. |
| firewallVersionSysId [chaîne] | ID système de la version de pare-feu. |
| refreshEDLCommand [chaîne] | Commande à utiliser pour actualiser l’EDL à partir de la source. |
| ShowEDLDetailsCommand [chaîne] | Commande à utiliser pour obtenir les détails de l’EDL. |
| état [booléen] | Vrai indique la réussite. Faux indique un échec. |
| erreur [chaîne] | Erreur qui s’est produite, le cas échéant, dans l’activité. |
| point de terminaison [chiffré] | Point de terminaison chiffré de la base de données. |
Pare-feu Palo Alto : obtenir l’activité de journal
L’activité de workflow Pare-feu Palo Alto : obtenir les journaux planifie une requête sur le pare-feu pour récupérer les journaux et renvoie un JobID utilisé pour récupérer les données du journal.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu. Cette variable d’entrée est obligatoire. |
| FirewallApiKey [chaîne] | Clé d’accès API du pare-feu. Cette variable d’entrée est obligatoire. |
| FirewallLogType [chaîne] | Type de données de journal à récupérer (défini sur menace). Cette variable d’entrée est obligatoire. |
| FirewallLogFilterQuery [chaîne] | Requête à exécuter pour rechercher des journaux sur le pare-feu. Cette variable d’entrée est obligatoire. |
| LogDirection [chaîne] | Spécifie si les journaux sont affichés dans l’ordre le plus ancien (en arrière) ou le plus récent en premier (en avant). |
| LogNumber [chaîne] | Spécifie le nombre de journaux à récupérer. |
| LogSkipCount [chaîne] | Spécifie le nombre de journaux à ignorer lors de la récupération d’un journal. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| QueuedJobID [chaîne] | L’ID de tâche renvoyé par le pare-feu. |
| JobPlanifié [chaîne] | Spécifie (réussite ou échec) si la tâche a été envoyée au pare-feu. |
| erreur [chaîne] | Toutes les erreurs renvoyées. |
Pare-feu Palo Alto : données de tâche Activité d’action
Une fois que l’activité Palo Alto Firewall : obtenir le journal met en file d’attente la requête de recherche vers le pare-feu et que la tâche s’exécute, l’activité Palo Alto Firewall : action de données de tâche récupère les données du journal des menaces du pare-feu.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Tous les champs d’entrée sont obligatoires.
| Variable | Description |
|---|---|
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu. |
| FirewallApiKey [chaîne] | Clé d’accès API du pare-feu. |
| JobID [chaîne] | ID de la tâche en file d’attente. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| commandStatus [chaîne] | Spécifie (réussite ou échec) si les données ont été récupérées à partir du pare-feu. |
| JobData [chaîne] | Les données collectées à partir du pare-feu. |
| erreur [chaîne] | Toutes les erreurs renvoyées. |