Security Operations Palo Alto Networks - Workflow Vérifier et bloquer la valeur
Au fur et à mesure que les incidents de sécurité sont créés et triés pour identifier les menaces potentielles, vous pouvez utiliser le workflow Security Operations Palo Alto Networks - Vérifier et bloquer la valeur pour vérifier et mettre à jour automatiquement les adresses IP, les URL et les domaines à l’aide des listes dynamiques externes définies dans Palo Alto Networks - Firewall.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Pendant l’exécution du workflow, les commandes définies sous sont exécutés. Les commandes de type Afficher (par exemple, Show-IP-ExternalDynamicList) déterminent si la valeur existe sur le pare-feu. Les commandes de type Actualisation (par exemple, Refresh-IP-ExternalDynamicList) ajoutent à la liste de blocs une valeur qui n’existe pas sur le pare-feu.
Après l’exécution de l’activité État bloqué , l’approbation d’un administrateur système est requise pour que le workflow puisse se poursuivre.
Procédure
Pare-feu Palo Alto : activité d’état de la demande de blocage
Cette activité est appelée par d’autres activités pour définir l’état de la demande de bloc de pare-feu sur réussite ou échec.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| firewallBlockRequestSysid [chaîne] | ID système de la demande de bloc de pare-feu. Cette variable d’entrée est obligatoire. |
| état [chaîne] | Indique si la tâche d’actualisation s’est exécutée : réussite ou échec. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| Résultat [chaîne] | Indique la réussite ou l’échec de la tâche d’actualisation. |
Pare-feu Palo Alto : activité Bloquer la valeur
Une fois que le workflow a identifié une valeur qui n’est pas sur le pare-feu, l’enregistrement est acheminé pour approbation. Après approbation, cette activité se connecte au MID Server via vos informations d’identification SSH et appelle un script qui ajoute la valeur à la liste de blocs externes du pare-feu.
Variables d'entrée
| Variable | Description |
|---|---|
| toBeBlockedValue [chaîne] | Valeur à ajouter à l’EDL si elle n’est pas déjà présente. Cette variable d’entrée est obligatoire. |
| typeToBeBlocked [chaîne] | Type de valeur à bloquer : IP, URL ou Domaine. Cette variable d’entrée est obligatoire. |
| targetHost [chaîne] | Le MID Server sur lequel le script est exécuté. |
| SSHCredentialTag [chaîne] | La balise d’informations d’identification SSH définie sur le MID Server. |
| scriptCommand [chaîne] | Script AppendValueToList.sh utilisé pour ajouter la valeur à l’EDL. Il nécessite le chemin d’accès complet au MID Server. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| Résultat [chaîne] | Le résultat a été transmis à l’EDL. |
Pare-feu Palo Alto - Activité d’état bloqué
Cette activité vérifie si la valeur (IP, URL ou domaine) est incluse dans sa liste dynamique externe/liste de blocs dynamiques (EDL/DBL) respective sur le pare-feu. Les détails de l’EDL/DBL sont obtenus à partir du pare-feu à l’aide d’une commande opérationnelle, et une routine est exécutée pour vérifier si la valeur est bloquée sur le pare-feu.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| valueToBeChecked [chaîne] | Valeur de la demande de bloc. |
| showEDLDetailsCommand [chaîne] | Commande Liste dynamique externe utilisée pour déterminer si la valeur existe sur le pare-feu. |
| FirewallIpAddress [chaîne] | L’adresse IP du pare-feu utilisé. |
| FirewallApiKey [chaîne] | Clé API du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement à l’aide du message d’API Palo Alto Firewall Operational Command.
| Variable | Description |
|---|---|
| commandResult [chaîne] | Résultats du pare-feu pour la commande show EDL Details. |
| blockedStatus [booléen] | Vrai indique le blocage. Faux indique qu’il n’est pas bloqué. |
| commandResponse [chaîne] | État de la réponse obtenu auprès du pare-feu pour la commande show EDL Details. |
Pare-feu Palo Alto : obtenir l’activité de clé API
Cette activité récupère la clé API à partir du pare-feu.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| Nom d’utilisateur [string] | Nom d’utilisateur de l’administrateur du pare-feu. |
| Mot de passe [chaîne] | Mot de passe de l’administrateur du pare-feu. |
| FirewallIpAddress [chaîne] | L’adresse IP du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| APIKey [chaîne] | Clé API du pare-feu. |
Pare-feu Palo Alto : obtenir l’activité de configuration du pare-feu
L’activité de workflow Pare-feu Palo Alto : obtenir la configuration du pare-feu accède à toutes les informations de configuration de pare-feu connexes dans la base de données et les rend utilisables par l’activité suivante.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| firewallSysid [chaîne] | L’ID système du pare-feu. Cette variable d’entrée est obligatoire. |
| typeOfValueToBeBlocked [chaîne] | Type de valeur à bloquer sur le pare-feu : IP, URL ou Domaine. |
| firewallIPAddress [chaîne] | L’adresse IP du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| ipEDLName [chaîne] | Nom de la liste dynamique externe pour les adresses IP. |
| urlEDLName [chaîne] | Nom de la liste dynamique externe pour les URL. |
| domainEDLName [chaîne] | Nom de la liste dynamique externe pour les domaines. |
| firewallVersionSysId [chaîne] | L’ID système de la version du pare-feu. |
| refreshEDLCommand [chaîne] | Commande à utiliser pour actualiser l’EDL à partir de la source. |
| ShowEDLDetailsCommand [chaîne] | Commande à utiliser pour obtenir les détails de l’EDL. |
| état [booléen] | True indique le succès. Faux indique l’échec. |
| Erreur [chaîne] | Erreur, le cas échéant, qui s’est produite dans l’activité. |
| point de terminaison [Chiffré] | Point de terminaison chiffré issu de la base de données. |
Pare-feu Palo Alto : actualiser l’activité EDL/DBL
Cette activité exécute une commande opérationnelle sur le pare-feu pour actualiser la liste dynamique externe à partir de la source configurée sur le pare-feu. La sortie de cette activité indique si la tâche d’actualisation a été mise en file d’attente.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu en cours d’actualisation. |
| FirewallApiKey [chaîne] | Clé API de pare-feu actualisée. |
| FirewallCommand [chaîne] | Commande opérationnelle à exécuter pour mettre en file d’attente la tâche d’actualisation. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| Activité. Output.result [chaîne] | Chaîne de texte indiquant si la tâche d’actualisation a été mise en file d’attente pour être exécutée : réussite ou échec. |