Security Operations Palo Alto Networks : workflow de vérification et de blocage de la valeur
Au fur et à mesure que les incidents de sécurité sont créés et triés pour identifier les menaces potentielles, vous pouvez utiliser le workflow Security Operations Palo Alto Networks - Check and Block Value pour vérifier et mettre à jour automatiquement les adresses IP, les URL et les domaines à l’aide des listes dynamiques externes définies dans Palo Alto Networks - Firewall.
Avant de commencer
Rôle requis : sn_si.analyst
Pourquoi et quand exécuter cette tâche
Pendant l’exécution du workflow, les commandes définies sous sont exécutés. Les commandes de type Afficher (par exemple, Show-IP-ExternalDynamicList) déterminent si la valeur existe sur le pare-feu. Les commandes de type Actualiser (par exemple, Refresh-IP-ExternalDynamicList) ajoutent à la liste de blocs une valeur qui n’existe pas sur le pare-feu.
Une fois l’activité État bloqué exécutée, l’approbation d’un administrateur système est requise pour que le workflow puisse continuer.
Procédure
Pare-feu Palo Alto : activité d’état des demandes de blocs
Cette activité est appelée par d’autres activités pour définir l’état de la demande de bloc de pare-feu sur réussite ou échec.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| firewallBlockRequestSysid [chaîne] | ID système de la demande de blocage de pare-feu. Cette variable d’entrée est obligatoire. |
| État [chaîne] | Indique si la tâche d’actualisation a exécuté : réussite ou échec. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| Résultat [chaîne] | Indique si la tâche d’actualisation a réussi ou échoué. |
Pare-feu Palo Alto : activité de valeur de bloc
Une fois que le workflow a identifié une valeur qui n’est pas sur le pare-feu, l’enregistrement est acheminé pour approbation. Après approbation, cette activité se connecte au serveur MID via vos informations d’identification SSH et appelle un script qui ajoute la valeur à la liste de blocs externes du pare-feu.
Variables d'entrée
| Variable | Description |
|---|---|
| toBeBlockedValue [chaîne] | Valeur à ajouter à l’EDL si elle n’est pas déjà présente. Cette variable d’entrée est obligatoire. |
| typeToBeBlocked [chaîne] | Type de valeur à bloquer : IP, URL ou Domaine. Cette variable d’entrée est obligatoire. |
| targetHost [chaîne] | Serveur MID sur lequel le script est exécuté. |
| SSHCredentialTag [chaîne] | La balise d’informations d’identification SSH définie sur le MID Server. |
| scriptCommand [chaîne] | Script AppendValueToList.sh utilisé pour ajouter la valeur à l’EDL. Il nécessite le chemin d’accès complet au serveur MID. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| Résultat [chaîne] | Le résultat a été transmis à l’EDL. |
Pare-feu Palo Alto : activité d’état bloqué
Cette activité vérifie si la valeur (IP, URL ou domaine) est incluse dans sa liste dynamique externe/liste de blocs dynamiques (EDL/DBL) respective sur le pare-feu. Les détails EDL/DBL sont obtenus à partir du pare-feu à l’aide d’une commande opérationnelle, et une routine est exécutée pour vérifier si la valeur est bloquée sur le pare-feu.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| valueToBeChecked [chaîne] | La valeur de la demande de bloc. |
| showEDLDetailsCommand [chaîne] | Commande Liste dynamique externe utilisée pour déterminer si la valeur existe sur le pare-feu. |
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu utilisé. |
| FirewallApiKey [chaîne] | Clé API du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement à l’aide du message d’API Palo Alto Firewall Operational Command.
| Variable | Description |
|---|---|
| commandResult [chaîne] | Résultats du pare-feu pour la commande show EDL Details. |
| blockedStatus [booléen] | Vrai indique un élément bloqué. Faux indique qu’il n’est pas bloqué. |
| commandResponse [chaîne] | État de la réponse obtenu à partir du pare-feu pour la commande show EDL Details. |
Pare-feu Palo Alto : obtenir l’activité de clé API
Cette activité récupère la clé API du pare-feu.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| Nom d’utilisateur [string] | Nom d’utilisateur de l’administrateur du pare-feu. |
| Mot de passe [string] | Le mot de passe de l’administrateur du pare-feu. |
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| APIKey [chaîne] | Clé API du pare-feu. |
Pare-feu Palo Alto : obtenir l’activité de configuration du pare-feu
L’activité de workflow Pare-feu Palo Alto : obtenir la configuration du pare-feu accède à toutes les informations de configuration de pare-feu connexes à partir de la base de données et les rend disponibles pour l’activité suivante.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| firewallSysid [chaîne] | ID système du pare-feu. Cette variable d’entrée est obligatoire. |
| typeOfValueToBeBlocked [chaîne] | Type de valeur à bloquer sur le pare-feu : IP, URL ou Domaine. |
| pare-feuIPAddress [chaîne] | Adresse IP du pare-feu. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| ipEDLName [chaîne] | Nom de la liste dynamique externe pour les adresses IP. |
| urlEDLName [chaîne] | Nom de la liste dynamique externe pour les URL. |
| domainEDLName [chaîne] | Nom de la liste dynamique externe pour les domaines. |
| firewallVersionSysId [chaîne] | ID système de la version de pare-feu. |
| refreshEDLCommand [chaîne] | Commande à utiliser pour actualiser l’EDL à partir de la source. |
| ShowEDLDetailsCommand [chaîne] | Commande à utiliser pour obtenir les détails de l’EDL. |
| état [booléen] | Vrai indique la réussite. Faux indique un échec. |
| erreur [chaîne] | Erreur qui s’est produite, le cas échéant, dans l’activité. |
| point de terminaison [chiffré] | Point de terminaison chiffré de la base de données. |
Pare-feu Palo Alto : actualiser l’activité EDL/DBL
Cette activité exécute une commande opérationnelle sur le pare-feu pour actualiser la liste dynamique externe à partir de la source configurée sur le pare-feu. La sortie de cette activité indique si la tâche d’actualisation a été mise en file d’attente.
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.
| Variable | Description |
|---|---|
| FirewallIpAddress [chaîne] | Adresse IP du pare-feu en cours d’actualisation. |
| FirewallApiKey [chaîne] | Clé API de pare-feu actualisée. |
| Commande de pare-feu [chaîne] | Commande opérationnelle à exécuter pour mettre en file d’attente la tâche d’actualisation. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes. La sortie se compose de données provenant de la configuration du pare-feu, ainsi que de données générées dynamiquement.
| Variable | Description |
|---|---|
| activité. Output.result [chaîne] | Chaîne de texte indiquant si la tâche d’actualisation a été mise en file d’attente pour s’exécuter : réussite ou échec. |