Obtenir le flux de données du journal

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Si Réponse aux incidents de sécurité, Renseignements sur les menaceset sont Palo Alto Networks - Firewall activés, le flux Security Operations Palo Alto Networks - Obtenir les données du journal s’exécute automatiquement lorsque l’adresse IP source des observables dans un incident de sécurité est modifiée.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Pendant l’exécution du flux, les informations de configuration du pare-feu sont récupérées à partir de la base de données et la clé API est récupérée à partir du pare-feu. L’action Obtenir le journal met en file d’attente une requête de recherche sur le pare-feu. Lorsque la requête s’exécute, elle renvoie un ID de tâche qui est utilisé pour récupérer les données des journaux de menaces à partir du pare-feu. Il joint les données du journal sous forme de fichier XML à l’incident de sécurité.
    Figure 1. Security Operations Palo Alto Networks : obtenir le flux de données du journal
    Obtenir le flux de données du journal

    Procédure

    1. Accédez à un incident de sécurité qui contient des observables.
    2. Cliquez sur l’onglet Observables de l’incident de sécurité .
    3. Dans Adresse IP source, ajoutez ou modifiez l’adresse IP.
    4. Cliquez sur Mettre à jour.
      Le flux Security Operations Palo Alto Networks : obtenir les données du journal s’exécute et les données enrichies du journal des menaces sont jointes à l’incident de sécurité. Les informations sont également analysées et affichées dans la section Journaux du pare-feu sous l’onglet Données d’enrichissement .

    Pare-feu Palo Alto : obtenir l’action de clé API

    Cette action récupère la clé API à partir du pare-feu.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action. Toutes les entrées de variables d’entrée répertoriées sont obligatoires.

    Tableau 1. Variables d'entrée
    Variable Description
    Nom d’utilisateur [chaîne] Le nom d’utilisateur de l’administrateur du pare-feu.
    Mot de passe [chaîne] Mot de passe administrateur du pare-feu.
    FirewallIpAddress [chaîne] Adresse IP du pare-feu.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 2. Variables de sortie
    Variable Description
    APIKey [chaîne] Clé API du pare-feu.

    Pare-feu Palo Alto : action Obtenir la configuration du pare-feu

    L’action de flux Pare-feu Palo Alto : obtenir la configuration du pare-feu accède à toutes les informations de configuration du pare-feu connexes à partir de la base de données et les rend disponibles pour utilisation par l’action suivante.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 3. Variables d'entrée
    Variable Description
    firewallSysid [chaîne] ID système du pare-feu. Cette variable d’entrée est obligatoire.
    typeOfValueToBeBlocked [chaîne] Type de valeur à bloquer sur le pare-feu : IP, URL ou Domaine.
    firewallIPAddress [chaîne] Adresse IP du pare-feu.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 4. Variables de sortie
    Variable Description
    ipEDLName [chaîne] Nom de la liste dynamique externe pour les adresses IP.
    urlEDLName [chaîne] Nom de la liste dynamique externe pour les URL.
    domainEDLName [chaîne] Nom de la liste dynamique externe des domaines.
    firewallVersionSysId [chaîne] ID système pour la version du pare-feu.
    refreshEDLCommand [chaîne] Commande à utiliser pour actualiser l’EDL à partir de la source.
    ShowEDLDetailsCommand [chaîne] Commande à utiliser pour obtenir les détails de l’EDL.
    état [booléen] Vrai indique la réussite. Faux indique un échec.
    Erreur [chaîne] L’erreur, le cas échéant, qui s’est produite dans l’action.
    point de terminaison [chiffré] Point de terminaison chiffré à partir de la base de données.

    Pare-feu Palo Alto : action d’obtention du journal

    L’action Pare-feu Palo Alto : obtenir le flux de journal planifie une requête sur le pare-feu pour récupérer les journaux et renvoie un JobID utilisé pour récupérer les données du journal.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action.

    Tableau 5. Variables d'entrée
    Variable Description
    FirewallIpAddress [chaîne] Adresse IP du pare-feu. Cette variable d’entrée est obligatoire.
    FirewallApiKey [chaîne] Clé d’accès API du pare-feu. Cette variable d’entrée est obligatoire.
    FirewallLogType [chaîne] Type de données de journal à récupérer (défini sur menace). Cette variable d’entrée est obligatoire.
    FirewallLogFilterQuery [chaîne] Requête à exécuter pour rechercher des journaux sur le pare-feu. Cette variable d’entrée est obligatoire.
    LogDirection [chaîne] Spécifie si les journaux sont affichés dans l’ordre du plus ancien (en arrière) ou du plus récent en premier (en avant).
    LogNumber [chaîne] Spécifie le nombre de journaux à récupérer.
    LogSkipCount [chaîne] Spécifie le nombre de journaux à ignorer lors de la récupération d’un journal.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 6. Variables de sortie
    Variable Description
    QueuedJobID [chaîne] ID de la tâche renvoyé par le pare-feu.
    JobScheduled [chaîne] Spécifie (réussite ou échec) si la tâche a été envoyée au pare-feu.
    Erreur [chaîne] Toute erreur renvoyée.

    Pare-feu Palo Alto : action sur les données de la tâche

    Une fois que l’action Palo Alto Firewall : Obtenir le journal a mis en file d’attente la requête de recherche vers le pare-feu et que la tâche s’exécute, l’action Palo Alto Firewall : action Données de tâche récupère les données du journal des menaces à partir du pare-feu.

    Variables d'entrée

    Les variables d’entrée déterminent le comportement initial de l’action. Tous les champs d’entrée sont obligatoires.

    Tableau 7. Variables d'entrée
    Variable Description
    FirewallIpAddress [chaîne] Adresse IP du pare-feu.
    FirewallApiKey [chaîne] Clé d’accès API du pare-feu.
    JobID [chaîne] ID de la tâche en file d’attente.

    Variables de sortie

    Les variables de sortie contiennent des données qui peuvent être utilisées dans les actions suivantes. La sortie se compose de données provenant de la configuration du pare-feu ainsi que de données générées dynamiquement.

    Tableau 8. Variables de sortie
    Variable Description
    commandStatus [chaîne] Spécifie (réussite ou échec) si les données ont été récupérées à partir du pare-feu.
    JobData [chaîne] Les données collectées à partir du pare-feu.
    Erreur [chaîne] Toute erreur renvoyée.