Demandes de règles de pare-feu utilisant des workflows agentiques

  • Rversion finale: Australia
  • Mis à jour 30 avr. 2026
  • 5 minutes de lecture

    • Utilisez le workflow agentique de création de tâche de gestion de pare-feu pour demander de nouvelles politiques et règles de pare-feu à partir du Now Assist panneau.

    Figure 1. Workflow de demande de règle de pare-feu
    Workflow de demande de règle de pare-feu

    Demander des règles de pare-feu à l’aide du workflow agentique

    Utilisez le workflow agentique de création de tâche de gestion de pare-feu pour demander de nouvelles règles de pare-feu via des invites en langage naturel.

    Avant de commencer

    • Installez et configurez l’application Firewall Audits and Reporting (Audits et rapports de pare-feu).
    • Installez le module d’extension Agents IA pour Découverte. Ce module d’extension fait partie de l’ensemble d’agents IA et nécessite un abonnement distinct.
    • Découvrez les gestionnaires de pare-feu et les appareils Panorama, et vérifiez que Détection a rempli la table Objets d’adresse de pare-feu Panorama.

    Rôle requis : firewall_admin

    Pourquoi et quand exécuter cette tâche

    Le workflow agentique lit votre demande en langage naturel, extrait les paramètres requis tels que l’adresse IP source, l’adresse IP de destination, le protocole, la direction du trafic, l’action et le type de conformité, et vous invite à indiquer les valeurs que vous n’avez pas fournies. Le workflow exécute une analyse des risques basée sur les données de la demande et le cadre de travail de conformité spécifié avant de créer la tâche de règle. L’analyse des risques renvoie l’un des trois niveaux suivants :

    • Faible : Le workflow crée la tâche de règle et joint l’analyse.
    • Moyen ou élevé : Le workflow ne crée pas la tâche. Le workflow signale la violation dans la messagerie instantanée et demande s’il faut continuer. Si vous confirmez, le workflow crée la tâche et joint l’analyse des risques.
    Figure 2. Workflow agentique Now Assist
    Workflow agentique Now Assist

    Procédure

    1. Ouvrir le Now Assist panneau.
    2. Déclenchez le workflow agentique de création de tâche de gestion de pare-feu.
    3. Dans la messagerie instantanée, saisissez votre demande de règle de pare-feu en langage naturel et incluez l’adresse IP source, l’adresse IP de destination, le protocole, la direction du trafic et l’action.
    4. Répondez aux invites du workflow pour les informations manquantes.
    5. Examinez la réponse du workflow.
      La réponse inclut le numéro de tâche de règle, les données de demande extraites et le résumé de l’analyse des risques.

    Résultats

    Pour vérifier la tâche de règle, accédez à Demandes de règles > Tâche de demandes de règles. Votre demande apparaît dans la liste avec le champ Plan de résolution IA défini sur vrai et l’analyse des risques IA jointe en tant que notes de travail.

    Approuver les demandes de règles de pare-feu

    Examinez les demandes de règles de pare-feu générées par l’IA, évaluez l’analyse des risques et approuvez ou rejetez les demandes avec affectation de groupe d’appareils.

    Avant de commencer

    Rôle requis : membres du groupe d’approbation spécifié sur la tâche de règle. L’utilisateur administrateur peut modifier la liste des approbateurs dans la tâche de règle.

    Pourquoi et quand exécuter cette tâche

    Les demandes créées à partir du workflow agentique comprennent une évaluation d’IA qui résume la demande et indique si elle peut être approuvée. Les approbateurs peuvent utiliser cette évaluation au lieu d’évaluer manuellement chaque paramètre. Avant l’approbation, le workflow publie un message de messagerie instantanée indiquant que le groupe d’appareils ne peut pas être déterminé automatiquement. Un groupe d’appareils est un ensemble logique d’appareils sur lequel la règle est créée. L’approbateur, qui connaît bien l’infrastructure du pare-feu, doit spécifier le groupe d’appareils auquel appliquer la règle.

    Procédure

    1. Accédez à la Tous > Libre-service > Mes approbations.
    2. Ouvrez la tâche de règle et passez en revue l’évaluation d’IA dans les notes de travail.
      L’état Bon à approuver indique que l’analyse des risques de l’IA a renvoyé un risque faible.
    3. Dans l’invite de messagerie instantanée, spécifiez le groupe d’appareils sur lequel créer la règle.
      Par exemple, test1.
    4. Sélectionnez la coche verte pour approuver la demande.

    Résultats

    L’application Firewall Audits and Reporting appelle l’API REST Panorama pour vérifier si la règle demandée existe déjà. Si la règle existe, le workflow signale le résultat dans la messagerie instantanée et aucune autre action n’est requise. Si la règle n’existe pas, le workflow passe à l’étape suivante. Le groupe d’affectation travaille sur la demande et la marque comme Fermé terminé. Un flux secondaire en arrière-plan crée une demande de changement après que la tâche de règle est marquée comme Fermé terminé avec le plan de résolution IA défini sur vrai. Le plan d’implémentation contient l’adresse IP source, l’adresse IP de destination, le flux de trafic, l’action, le port, le protocole et le groupe d’appareils.

    Remarque :
    La demande de changement n’est créée que si la tâche de règle est approuvée et à l’état Fermé terminé , et que le module d’extension de demande de changement est activé.

    Implémenter des règles de pare-feu sur Palo Alto Panorama

    Implémentez automatiquement les règles de pare-feu approuvées sur les serveurs Palo Alto Panorama via le processus de gestion des changements.

    Avant de commencer

    • Vérifiez que le champ Plan de résolution IA de la tâche de règle est défini sur vrai. Ce champ est défini automatiquement lorsque la demande est créée à partir du Now Assist panneau.

    Rôle requis : membres du groupe d’affectation sur la demande de changement.

    Pourquoi et quand exécuter cette tâche

    L’instance appelle une API REST pour créer et valider la règle, de sorte que le groupe d’affectation n’ait pas à se connecter manuellement à Panorama. L’étape d’implémentation n’est pas automatisée si le champ Plan de résolution IA est vide, par exemple lorsque la demande est créée à partir de Catalogue de services au lieu du workflow agentique. Dans ce cas, un membre du groupe d’affectation doit se connecter à Panorama, créer la règle manuellement et marquer la demande de changement comme Révision.

    Procédure

    1. Accédez à la demande de changement créée à partir de la tâche de règle.
    2. Passez la demande de changement par les états de gestion des changements standard : Évaluer, Autoriser, Planifié et Implémenter.
    3. Sélectionnez Implémenter.
      Le workflow appelle une API REST pour créer et valider la règle sur le groupe d’appareils spécifié lors de l’approbation.
    4. Examinez la règle dans la demande de changement.
      Les notes de travail indiquent si la règle a été créée et validée avec succès, ainsi que le nom de la règle.
    5. Si la règle a été créée comme prévu, fermez la demande de changement.

    Résultats

    La règle est créée et validée sur le serveur Panorama pour le groupe d’appareils spécifié.

    Remarque :
    Valider applique la règle à tous les appareils pertinents sur le serveur Panorama. Créer enregistre la règle sans l’appliquer. L’automatisation effectue à la fois la création et la validation dans un seul appel d’API.