Workflow „Protokolldaten abrufen“.

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Wenn Security Incident Response, Threat Intelligenceund Palo Alto Networks – Firewall aktiviert sind, wird der Workflow „ Security Operations Palo Alto Networks – Protokolldaten abrufen“ automatisch ausgeführt, wenn die Quell-IP für erkennbare Elemente in einem Security Incident geändert wird.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Während der Ausführung des Workflows werden Firewall-Konfigurationsinformationen aus der -Datenbank abgerufen, und der API-Schlüssel wird von der Firewall abgerufen. Die Aktivität „Protokoll abrufen“ stellt eine Suchabfrage in der Firewall bereit. Wenn die Abfrage ausgeführt wird, gibt sie eine Auftrags-ID zurück, die zum Abrufen von Bedrohungsprotokolldaten von der Firewall verwendet wird. Die Protokolldaten werden als XML-Datei an den Security Incident angehängt.
    Abbildung : 1. Security Operations Palo Alto Networks: Workflow zum Abrufen von Protokolldaten
    Workflow „Protokolldaten abrufen“.

    Prozedur

    1. Navigieren Sie zu einem Security Incident, der erkennbare Elemente enthält.
    2. Klicken Sie auf die Registerkarte Erkennbare Elemente des Security Incidents.
    3. Fügen Sie unter Quell-IPdie IP-Adresse hinzu, oder ändern Sie sie.
    4. Klicken Sie auf Aktualisieren.
      Der Workflow „ Security Operations Palo Alto Networks – Protokolldaten abrufen“ wird ausgeführt, und angereicherte Bedrohungsprotokolldaten werden an den Security Incident angehängt. Die Informationen werden auch analysiert und im Abschnitt „ Firewall-Protokolle “ auf der Registerkarte Ergänzungsdaten angezeigt.

    Palo Alto-Firewall: Aktivität „API-Schlüssel abrufen“.

    Diese Aktivität ruft den API-Schlüssel von der Firewall ab.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle aufgelisteten Eingabevariablen-Einträge sind obligatorisch.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    Anwendername [Zeichenfolge] Der Anwendername des Firewall-Administrators.
    Passwort [Zeichenfolge] Das Passwort des Firewall-Administrators.
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    APIKey [Zeichenfolge] Der Firewall-API-Schlüssel.

    Palo Alto-Firewall: Aktivität „Firewall-Konfiguration abrufen“.

    Die Workflow-Aktivität „Palo Alto Firewall: Firewall-Konfiguration abrufen“ ruft alle zugehörigen Firewall-Konfigurationsinformationen aus der -Datenbank ab und stellt sie für die Verwendung durch die nachfolgende Aktivität bereit.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 3. Eingabevariablen
    Variable Beschreibung
    FirewallSysid [Zeichenfolge] Die System-ID der Firewall. Diese Eingabevariable ist obligatorisch.
    typeOfValueToBeBlocked [Zeichenfolge] Werttyp, der in der Firewall blockiert werden soll: IP, URL oder Domäne.
    Firewall-IPAddress [Zeichenfolge] Die IP-Adresse der Firewall.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 4. Ausgabevariablen
    Variable Beschreibung
    ipEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für IP-Adressen.
    urlEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für URLs.
    domainEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für Domänen.
    FirewallVersionSysId [Zeichenfolge] Die System-ID für die Firewall-Version.
    refreshEDLCommand [Zeichenfolge] Der zum Aktualisieren der EDL aus der Quelle zu verwendende Befehl.
    ShowEDLDetailsCommand [Zeichenfolge] Der zum Abrufen der EDL-Details zu verwendende Befehl.
    status [Boolesch] „Wahr“ bedeutet Erfolg. „Falsch“ gibt einen Fehler an.
    Fehler [Zeichenfolge] Der Fehler, der in der Aktivität aufgetreten ist, falls vorhanden.
    Endpunkt [Verschlüsselt] Der verschlüsselte Endpunkt aus der Datenbank.

    Palo Alto-Firewall: Protokollaktivität abrufen

    Die Workflow-Aktivität „ Palo Alto-Firewall: Protokoll abrufen“ plant eine Abfrage der Firewall, um Protokolle abzurufen, und gibt eine JobID zurück, die zum Abrufen der Protokolldaten verwendet wird.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 5. Eingabevariablen
    Variable Beschreibung
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall. Diese Eingabevariable ist obligatorisch.
    FirewallApiKey [Zeichenfolge] Der API-Zugriffsschlüssel der Firewall. Diese Eingabevariable ist obligatorisch.
    FirewallLogType [Zeichenfolge] Der Typ der abzurufenden Protokolldaten (auf Bedrohung festgelegt). Diese Eingabevariable ist obligatorisch.
    FirewallLogFilterQuery [Zeichenfolge] Die Abfrage, die ausgeführt werden soll, um in der Firewall nach Protokollen zu suchen. Diese Eingabevariable ist obligatorisch.
    LogDirection [Zeichenfolge] Gibt an, ob Protokolle in der Reihenfolge zuerst (rückwärts) oder in der Reihenfolge zuerst (vorwärts) angezeigt werden.
    LogNumber [Zeichenfolge] Gibt die Anzahl der abzurufenden Protokolle an.
    ProtokollÜberspringenAnzahl [Zeichenfolge] Gibt die Anzahl der Protokolle an, die bei einem Protokollabruf übersprungen werden sollen.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 6. Ausgabevariablen
    Variable Beschreibung
    QueuedJobID [Zeichenfolge] Die von der Firewall zurückgegebene Auftrags-ID.
    JobGeplant [Zeichenfolge] Gibt an (Erfolg oder Fehler), ob der Auftrag an die Firewall gesendet wurde.
    Fehler [Zeichenfolge] Alle zurückgegebenen Fehler.

    Palo Alto-Firewall: Aktivität „Datenaktion für Auftrag“.

    Nachdem die Aktivität „ Palo Alto Firewall: Protokoll abrufen“ die Suchabfrage in die Firewall stellt und der Auftrag ausgeführt wird, ruft die Aktivität „Palo Alto Firewall: Auftragsdatenaktion“ die Bedrohungsprotokolldaten von der Firewall ab.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle Eingabefelder sind Pflichtfelder.

    Tabelle : 7. Eingabevariablen
    Variable Beschreibung
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall.
    FirewallApiKey [Zeichenfolge] Der API-Zugriffsschlüssel der Firewall.
    Auftrags-ID [Zeichenfolge] Die ID des Auftrags in der Warteschlange.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 8. Ausgabevariablen
    Variable Beschreibung
    kommandoStatus [Zeichenfolge] Gibt an (Erfolg oder Fehler), ob Daten von der Firewall abgerufen wurden.
    Auftragsdaten [Zeichenfolge] Die von der Firewall gesammelten Daten.
    Fehler [Zeichenfolge] Alle zurückgegebenen Fehler.