Protokolldaten-Flow abrufen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Wenn Security Incident Response, Threat Intelligenceund Palo Alto Networks – Firewall aktiviert sind, wird der Flow „Security Operations Palo Alto Networks – Protokolldaten abrufen“ automatisch ausgeführt, wenn die Quell-IP für erkennbare Elemente in einem Security Incident geändert wird.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Während der Flow-Ausführung werden Firewall-Konfigurationsinformationen aus der -Datenbank abgerufen, und der API-Schlüssel wird von der Firewall abgerufen. Die Aktion „Protokoll abrufen“ stellt eine Suchabfrage in der Firewall bereit. Wenn die Abfrage ausgeführt wird, gibt sie eine Auftrags-ID zurück, die zum Abrufen von Bedrohungsprotokolldaten von der Firewall verwendet wird. Die Protokolldaten werden als XML-Datei an den Security Incident angehängt.
    Abbildung : 1. Security Operations Palo Alto Networks: Flow zum Abrufen von Protokolldaten
    Protokolldaten-Flow abrufen

    Prozedur

    1. Navigieren Sie zu einem Security Incident, der erkennbare Elemente enthält.
    2. Klicken Sie auf die Registerkarte Erkennbare Elemente des Security Incidents.
    3. Fügen Sie unter Quell-IPdie IP-Adresse hinzu, oder ändern Sie sie.
    4. Klicken Sie auf Aktualisieren.
      Der Flow „Security Operations Palo Alto Networks – Protokolldaten abrufen“ wird ausgeführt, und dem Security Incident werden angereicherte Bedrohungsprotokolldaten angehängt. Die Informationen werden auch analysiert und im Abschnitt „Firewall-Protokolle“ auf der Registerkarte Ergänzungsdaten angezeigt.

    Palo Alto-Firewall: Aktion „API-Schlüssel abrufen“.

    Diese Aktion ruft den API-Schlüssel von der Firewall ab.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion. Alle aufgelisteten Eingabevariablen-Einträge sind obligatorisch.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    Anwendername [Zeichenfolge] Der Anwendername des Firewall-Administrators.
    Passwort [Zeichenfolge] Das Passwort des Firewall-Administrators.
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    APIKey [Zeichenfolge] Der Firewall-API-Schlüssel.

    Palo Alto-Firewall: Aktion zum Abrufen der Firewall-Konfiguration

    Die Flow-Aktion Palo Alto Firewall: Firewall-Konfiguration abrufen ruft alle zugehörigen Firewall-Konfigurationsinformationen aus der -Datenbank ab und stellt sie für die Verwendung durch die nachfolgende Aktion bereit.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 3. Eingabevariablen
    Variable Beschreibung
    FirewallSysid [Zeichenfolge] Die System-ID der Firewall. Diese Eingabevariable ist obligatorisch.
    typeOfValueToBeBlocked [Zeichenfolge] Werttyp, der in der Firewall blockiert werden soll: IP, URL oder Domäne.
    Firewall-IPAddress [Zeichenfolge] Die IP-Adresse der Firewall.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 4. Ausgabevariablen
    Variable Beschreibung
    ipEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für IP-Adressen.
    urlEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für URLs.
    domainEDLName [Zeichenfolge] Der Name der externen dynamischen Liste für Domänen.
    FirewallVersionSysId [Zeichenfolge] Die System-ID für die Firewall-Version.
    refreshEDLCommand [Zeichenfolge] Der zum Aktualisieren der EDL aus der Quelle zu verwendende Befehl.
    ShowEDLDetailsCommand [Zeichenfolge] Der zum Abrufen der EDL-Details zu verwendende Befehl.
    status [Boolesch] „Wahr“ bedeutet Erfolg. „Falsch“ gibt einen Fehler an.
    Fehler [Zeichenfolge] Der Fehler, der in der Aktion aufgetreten ist, falls vorhanden.
    Endpunkt [Verschlüsselt] Der verschlüsselte Endpunkt aus der Datenbank.

    Palo Alto-Firewall: Protokollaktion abrufen

    Die Flow-Aktion „Palo Alto-Firewall: Protokoll abrufen“ plant eine Abfrage auf der Firewall, um Protokolle abzurufen, und gibt eine JobID zurück, die zum Abrufen der Protokolldaten verwendet wird.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion.

    Tabelle : 5. Eingabevariablen
    Variable Beschreibung
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall. Diese Eingabevariable ist obligatorisch.
    FirewallApiKey [Zeichenfolge] Der API-Zugriffsschlüssel der Firewall. Diese Eingabevariable ist obligatorisch.
    FirewallLogType [Zeichenfolge] Der Typ der abzurufenden Protokolldaten (auf Bedrohung festgelegt). Diese Eingabevariable ist obligatorisch.
    FirewallLogFilterQuery [Zeichenfolge] Die Abfrage, die ausgeführt werden soll, um in der Firewall nach Protokollen zu suchen. Diese Eingabevariable ist obligatorisch.
    LogDirection [Zeichenfolge] Gibt an, ob Protokolle in der Reihenfolge zuerst (rückwärts) oder in der Reihenfolge zuerst (vorwärts) angezeigt werden.
    LogNumber [Zeichenfolge] Gibt die Anzahl der abzurufenden Protokolle an.
    ProtokollÜberspringenAnzahl [Zeichenfolge] Gibt die Anzahl der Protokolle an, die bei einem Protokollabruf übersprungen werden sollen.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 6. Ausgabevariablen
    Variable Beschreibung
    QueuedJobID [Zeichenfolge] Die von der Firewall zurückgegebene Auftrags-ID.
    JobGeplant [Zeichenfolge] Gibt an (Erfolg oder Fehler), ob der Auftrag an die Firewall gesendet wurde.
    Fehler [Zeichenfolge] Alle zurückgegebenen Fehler.

    Palo Alto-Firewall: Auftragsdatenaktion

    Nachdem die Aktion Palo Alto Firewall: Protokoll abrufen die Suchabfrage in die Firewall stellt und der Auftrag ausgeführt wird, ruft die Aktion Palo Alto Firewall: Auftragsdatenaktion die Bedrohungsprotokolldaten von der Firewall ab.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktion. Alle Eingabefelder sind Pflichtfelder.

    Tabelle : 7. Eingabevariablen
    Variable Beschreibung
    FirewallIpAddress [Zeichenfolge] Die IP-Adresse der Firewall.
    FirewallApiKey [Zeichenfolge] Der API-Zugriffsschlüssel der Firewall.
    Auftrags-ID [Zeichenfolge] Die ID des Auftrags in der Warteschlange.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktionen verwendet werden können. Die Ausgabe besteht aus Daten der Firewall-Konfiguration sowie dynamisch generierten Daten.

    Tabelle : 8. Ausgabevariablen
    Variable Beschreibung
    kommandoStatus [Zeichenfolge] Gibt an (Erfolg oder Fehler), ob Daten von der Firewall abgerufen wurden.
    Auftragsdaten [Zeichenfolge] Die von der Firewall gesammelten Daten.
    Fehler [Zeichenfolge] Alle zurückgegebenen Fehler.