Obter fluxo de dados de log
Se Resposta a incidentes de segurança, Inteligência contra ameaçase Palo Alto Networks - Firewall estiverem ativados, o fluxo das Operações de segurança Palo Alto Networks - Obter dados de log será executado automaticamente quando o IP de origem dos observáveis em um incidente de segurança for alterado.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
Firewall Palo Alto: obter ação de chave de API
Esta ação recupera a chave de API do firewall.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação. Todas as entradas de variáveis de entrada listadas são obrigatórias.
| Variável | Descrição |
|---|---|
| Nome de usuário [string] | O nome de usuário do administrador do firewall. |
| Senha [cadeia de caracteres] | A senha do administrador do firewall. |
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| APIKey [cadeia de caracteres] | A chave de API do firewall. |
Firewall Palo Alto: obter ação de configuração do firewall
A ação de fluxo Palo Alto Firewall: Obter configuração do firewall obtém todas as informações de configuração do firewall relacionadas do banco de dados e as disponibiliza para uso pela ação subsequente.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação.
| Variável | Descrição |
|---|---|
| firewallSysid [cadeia de caracteres] | O ID do sistema do firewall. Esta variável de entrada é obrigatória. |
| typeOfValueToBeBlocked [cadeia de caracteres] | O tipo de valor a ser bloqueado no firewall: IP, URL ou domínio. |
| firewallIPAddress [cadeia de caracteres] | O endereço IP do firewall. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| ipEDLName [cadeia de caracteres] | O nome da lista dinâmica externa para endereços IP. |
| urlEDLName [cadeia de caracteres] | O nome da lista dinâmica externa para URLs. |
| domainEDLName [cadeia de caracteres] | O nome da lista dinâmica externa para domínios. |
| firewallVersionSysId [cadeia de caracteres] | O ID do sistema para a versão do firewall. |
| updateEDLCommand [cadeia de caracteres] | O comando a ser usado para atualizar o EDL da origem. |
| ShowEDLDetailsCommand [cadeia de caracteres] | O comando a ser usado para obter os detalhes do EDL. |
| status [booliano] | Verdadeiro indica sucesso. Falso indica falha. |
| erro [cadeia de caracteres] | O erro, se houver, que ocorreu na ação. |
| endpoint [Criptografado] | O endpoint criptografado do banco de dados. |
Firewall Palo Alto - Obter ação de log
A ação de fluxo Palo Alto Firewall: Obter log programa uma consulta no firewall para recuperar logs e retorna um JobID usado para recuperar os dados de log.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação.
| Variável | Descrição |
|---|---|
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall. Esta variável de entrada é obrigatória. |
| FirewallApiKey [cadeia de caracteres] | A chave de acesso de API do firewall. Esta variável de entrada é obrigatória. |
| FirewallLogType [cadeia de caracteres] | O tipo de dados de log a serem recuperados (definido como ameaça). Esta variável de entrada é obrigatória. |
| FirewallLogFilterQuery [cadeia de caracteres] | A consulta a ser executada para pesquisar logs no firewall. Esta variável de entrada é obrigatória. |
| LogDirection [cadeia de caracteres] | Especifica se os logs são mostrados na ordem mais antiga (para trás) ou mais recente (para frente). |
| LogNumber [cadeia de caracteres] | Especifica o número de logs a serem recuperados. |
| LogSkipCount [cadeia de caracteres] | Especifica o número de logs a serem ignorados ao fazer uma recuperação de log. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| QueuedJobID [cadeia de caracteres] | O ID do trabalho retornado do firewall. |
| Trabalho programado [cadeia de caracteres] | Especifica (sucesso ou falha) se o trabalho foi enviado para o firewall. |
| erro [cadeia de caracteres] | Todos os erros retornados. |
Firewall da Palo Alto - Ação de dados de trabalho
Depois que a ação Palo Alto Firewall: Obter log enfileira a consulta de pesquisa no firewall e o trabalho é executado, a ação Palo Alto Firewall: ação de dados do trabalho recupera os dados do log de ameaças do firewall.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da ação. Todos os campos de entrada são obrigatórios.
| Variável | Descrição |
|---|---|
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall. |
| FirewallApiKey [cadeia de caracteres] | A chave de acesso de API do firewall. |
| JobID [cadeia de caracteres] | O ID do trabalho na fila. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em ações subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| commandStatus [cadeia de caracteres] | Especifica (sucesso ou falha) se os dados foram recuperados do firewall. |
| Dados do trabalho [cadeia de caracteres] | Os dados coletados do firewall. |
| erro [cadeia de caracteres] | Todos os erros retornados. |