Security Operations Palo Alto Networks: Wert-Workflow zum Überprüfen und Blockieren

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Wenn Security Incidents erstellt und selektiert werden, um potenzielle Bedrohungen zu identifizieren, können Sie den Workflow „Security Operations Palo Alto Networks – Werte überprüfen und sperren“ verwenden, um IP-Adressen, URLs und Domänen mithilfe von in Palo Alto Networks – Firewalldefinierten externen dynamischen Listen automatisch zu überprüfen und zu aktualisieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow „Security Operations Palo Alto Networks – Wert überprüfen und blockieren“ wird ausgeführt, wenn Firewall-Blockierungsanforderungen übermittelt werden. Die Blockierungsanforderung gibt die zu verwendende Firewall, den Typ des zu überprüfenden und zu blockierenden (falls erforderlich) erkennbaren Elements und den Blockwert an. Das heißt die betreffende IP-Adresse, URL oder Domäne.

    Während der Workflow-Ausführung werden die unter definierten Befehle als Integration mit Palo Alto Networks > Firewall > Befehle werden ausgeführt. Die Befehle vom Typ „Anzeigetyp“ (z. B. Show-IP-ExternalDynamicList) bestimmen, ob der Wert in der Firewall vorhanden ist. Die Befehle vom Typ „Aktualisieren“ (z. B. Refresh-IP-ExternalDynamicList) fügen der Sperrliste Werte hinzu, die in der Firewall nicht vorhanden sind.

    Nach der Ausführung der Aktivität „Blockierter Status“ ist die Genehmigung durch einen Systemadministrator erforderlich, bevor der Workflow fortgesetzt werden kann.

    Abbildung : 1. Security Operations Palo Alto Networks: Workflow zum Überprüfen und Blockieren von Werten
    Palo Alto Networks-Firewall – Workflow zum Überprüfen und Blockieren

    Prozedur

    1. Navigieren zu Integration mit Palo Alto Networks > Firewall > Anforderungen blockieren.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Beschreibung
      Firewall Wählen Sie die zu verwendende Firewall aus.
      Blocktyp Wählen Sie den Typ des zu überprüfenden Werts aus:
      • IP
      • URL
      • DOMAIN
      Blockwert Geben Sie den Wert des ausgewählten Typs ein, der in der Firewall überprüft werden soll.
    4. Klicken Sie auf Absenden.

    Palo Alto-Firewall: Aktivität „Status der Anforderung blockieren“.

    Diese Aktivität wird von anderen Aktivitäten aufgerufen, um den Status der Firewall-Blockanforderung auf „Erfolg“ oder „Fehler“ festzulegen.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    FirewallBlockRequestSysid [Zeichenfolge] Die System-ID der Firewall-Block-Anforderung. Diese Eingabevariable ist obligatorisch.
    Status [Zeichenfolge] Gibt an, ob der Aktualisierungsauftrag ausgeführt wurde: Erfolg oder Fehler.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    Ergebnis [Zeichenfolge] Gibt an, ob der Aktualisierungsauftrag erfolgreich war oder fehlgeschlagen ist.

    Palo Alto-Firewall: Aktivität zum Blockieren des Werts

    Nachdem der Workflow einen Wert identifiziert hat, der sich nicht in der Firewall befindet, wird der Datensatz zur Genehmigung weitergeleitet. Nach der Genehmigung stellt diese Aktivität über Ihre SSH-Anmeldeinformationen eine Verbindung zum MID-Server her und ruft ein Skript auf, das den Wert zur externen Sperrliste der Firewall hinzufügt.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
    Hinweis:
    Sie müssen die Eingabevariablen für diese Aktivität manuell eingeben und dann den Workflow veröffentlichen. Wenn der Workflow nicht veröffentlicht wird, werden die Eingabevariablen für Nicht-Administratoren nicht gespeichert.
    Tabelle : 3. Eingabevariablen
    Variable Beschreibung
    toBeBlockedValue [Zeichenfolge] Der Wert, der der EDL hinzugefügt werden soll, falls noch nicht vorhanden. Diese Eingabevariable ist obligatorisch.
    typeToBeBlocked [Zeichenfolge] Der Werttyp, der blockiert werden soll: IP, URL oder Domäne. Diese Eingabevariable ist obligatorisch.
    targetHost [Zeichenfolge] Der MID-Server, auf dem das Skript ausgeführt wird.
    SSHCredentialTag [Zeichenfolge] Das auf dem MID-Server definierte SSH-Anmeldeinformations-Tag.
    scriptCommand [Zeichenfolge] Das AppendValueToList.sh-Skript, das zum Hinzufügen des Werts zur EDL verwendet wird. Erfordert den vollständigen Pfad zum MID Server.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 4. Ausgabevariablen
    Variable Beschreibung
    Ergebnis [Zeichenfolge] Das Ergebnis wurde an die EDL übergeben.

    Palo Alto-Firewall: Aktivität „Status blockiert“.

    Diese Aktivität überprüft, ob der Wert (IP, URL oder Domäne) in der entsprechenden externen dynamischen Liste/dynamischen Sperrliste (EDL/DBL) in der Firewall enthalten ist. Die EDL/DBL-Details werden mit einem Betriebsbefehl von der Firewall abgerufen, und es wird eine Routine ausgeführt, um zu überprüfen, ob der Wert in der Firewall blockiert ist.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle aufgelisteten Eingabevariablen-Einträge sind obligatorisch.

    Tabelle : 5. Eingabevariablen
    Variable Beschreibung
    valueToBeChecked [Zeichenfolge] Der Wert in der Blockanforderung.
    anzeigenEDLDetailsCommand [Zeichenfolge] Der Befehl für die externe dynamische Liste, mit dem bestimmt wird, ob der Wert in der Firewall vorhanden ist.
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der verwendeten Firewall.
    FirewallApiKey [Zeichenfolge] Der Firewall-API-Schlüssel.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten aus der Firewall-Konfiguration sowie Daten, die dynamisch mit der Nachricht der Palo Alto-Firewall-Funktionsbefehls-API generiert werden.

    Tabelle : 6. Ausgabevariablen
    Variable Beschreibung
    kommandoergebnis [Zeichenfolge] Die Ergebnisse aus der Firewall für den Befehl zum Anzeigen von EDL-Details.
    blockiertStatus [Boolesch] „True“ gibt an, dass blockiert ist. „Falsch“ gibt an, dass nicht blockiert ist.
    Befehlsantwort [Zeichenfolge] Der von der Firewall für den Befehl zum Anzeigen von EDL-Details abgerufene Antwortstatus.

    Palo Alto-Firewall: Aktion „API-Schlüssel abrufen“.

    Diese Aktion ruft den API-Schlüssel von der Firewall ab.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion. Alle aufgelisteten Eingabevariablen-Einträge sind obligatorisch.

    Tabelle : 7. Eingabevariablen
    Variable Beschreibung
    Anwendername [Zeichenfolge] Der Anwendername des Firewall-Administrators.
    Passwort [Zeichenfolge] Das Passwort des Firewall-Administrators.
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 8. Ausgabevariablen
    Variable Beschreibung
    APIKey [Zeichenfolge] Der Firewall-API-Schlüssel.

    Palo Alto-Firewall: Aktion zum Abrufen der Firewall-Konfiguration

    Die Flow-Aktion Palo Alto Firewall: Firewall-Konfiguration abrufen ruft alle zugehörigen Firewall-Konfigurationsinformationen aus der -Datenbank ab und stellt sie für die Verwendung durch die nachfolgende Aktion bereit.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 9. Eingabevariablen
    Variable Beschreibung
    FirewallSysid [Zeichenfolge] Die System-ID der Firewall. Diese Eingabevariable ist obligatorisch.
    typeOfValueToBeBlocked [Zeichenfolge] Werttyp, der in der Firewall blockiert werden soll: IP, URL oder Domäne.
    Firewall-IPAddress [Zeichenfolge] Die IP-Adresse der Firewall.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 10. Ausgabevariablen
    Variable Beschreibung
    ipEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für IP-Adressen.
    urlEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für URLs.
    domainEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für Domänen.
    FirewallVersionSysId [Zeichenfolge] Die System-ID für die Firewall-Version.
    refreshEDLCommand [Zeichenfolge] Der zum Aktualisieren der EDL aus der Quelle zu verwendende Befehl.
    ShowEDLDetailsCommand [Zeichenfolge] Der zum Abrufen der EDL-Details zu verwendende Befehl.
    status [Boolesch] „Wahr“ bedeutet Erfolg. „Falsch“ gibt einen Fehler an.
    Fehler [Zeichenfolge] Der Fehler, der in der Aktion aufgetreten ist, falls vorhanden.
    Endpunkt [Verschlüsselt] Der verschlüsselte Endpunkt aus der Datenbank.

    Palo Alto-Firewall: EDL-/DBL-Aktivität aktualisieren

    Diese Aktivität führt einen operativen Befehl in der Firewall aus, um die externe dynamische Liste aus der in der Firewall konfigurierten Quelle zu aktualisieren. Die Ausgabe dieser Aktivität gibt an, ob der Aktualisierungsauftrag in die Warteschlange gestellt wurde.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität. Alle aufgelisteten Eingabevariablen-Einträge sind obligatorisch.

    Tabelle : 11. Eingabevariablen
    Variable Beschreibung
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall, die aktualisiert wird.
    FirewallApiKey [Zeichenfolge] Der aktualisierte Firewall-API-Schlüssel.
    FirewallCommand [Zeichenfolge] Der Betriebsbefehl, der ausgeführt werden soll, um den Aktualisierungsauftrag in die Warteschlange zu stellen.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 12. Ausgabevariablen
    Variable Beschreibung
    Aktivität.Ausgabe.Ergebnis [Zeichenfolge] Eine Textzeichenfolge, die angibt, ob der Aktualisierungsauftrag in die Warteschlange gestellt wurde: Erfolg oder Fehler.