Obtenir le flux de données du journal
Si , et sont activés, le flux Security Operations Palo Alto Networks - Obtenir les données du journal s’exécute automatiquement lorsque l’adresse IP source des observables dans un incident de sécurité est modifiée.Palo Alto Networks - FirewallRenseignements sur les menacesRéponse aux incidents de sécurité
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Procédure
Pare-feu Palo Alto : action d’obtention du journal
L’action Palo Alto Firewall : Get Log flow planifie une requête sur le pare-feu pour récupérer les journaux et renvoie un JobID utilisé pour récupérer les données du journal.
Variables d'entrée
Les variables d’entrée déterminent le comportement initial de l’action.
| Variable | Description |
|---|---|
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu. Cette variable d’entrée est obligatoire. |
| FirewallApiKey [chaîne] | Clé d’accès API du pare-feu. Cette variable d’entrée est obligatoire. |
| FirewallLogType [chaîne] | Type de données de journal à récupérer (défini sur menace). Cette variable d’entrée est obligatoire. |
| FirewallLogFilterQuery [chaîne] | La requête à exécuter pour rechercher des journaux sur le pare-feu. Cette variable d’entrée est obligatoire. |
| LogDirection [chaîne] | Spécifie si les journaux sont affichés dans l’ordre le plus ancien en premier (en arrière) ou le plus récent en premier (en avant). |
| LogNumber [chaîne] | Spécifie le nombre de journaux à récupérer. |
| LogSkipCount [chaîne] | Spécifie le nombre de journaux à ignorer lors de la récupération d’un journal. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| QueuedJobID [chaîne] | ID de la tâche renvoyé par le pare-feu. |
| JobScheduled [chaîne] | Spécifie (réussite ou échec) si la tâche a été envoyée au pare-feu. |
| erreur [chaîne] | Toutes les erreurs ont été renvoyées. |
Pare-feu Palo Alto : action sur les données de la tâche
Une fois que l’action Palo Alto Firewall : Obtenir le journal met en file d’attente la requête de recherche vers le pare-feu et que la tâche s’exécute, l’action Palo Alto Firewall : Job Data ( Données de la tâche) récupère les données du journal des menaces à partir du pare-feu.
Variables d'entrée
Les variables d’entrée déterminent le comportement initial de l’action. Tous les champs d’entrée sont obligatoires.
| Variable | Description |
|---|---|
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu. |
| FirewallApiKey [chaîne] | Clé d’accès API du pare-feu. |
| JobID [chaîne] | ID de la tâche en file d’attente. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans des actions ultérieures. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| commandStatus [chaîne] | Spécifie (réussite ou échec) si les données ont été récupérées à partir du pare-feu. |
| JobData [chaîne] | Données collectées à partir du pare-feu. |
| erreur [chaîne] | Toutes les erreurs ont été renvoyées. |