[ログデータを取得] フロー
セキュリティインシデントレスポンス、脅威インテリジェンス、Palo Alto Networks - Firewall が有効になっている場合、セキュリティインシデント内の観測事象のソース IP が変更されると、[セキュリティオペレーション Palo Alto Networks - ログデータを取得] フローが自動的に実行されます。
始める前に
必要なロール:sn_si.analyst
このタスクについて
手順
[Palo Alto ファイアウォール:ログを取得] アクション
[Palo Alto ファイアウォール:ログを取得]フローアクションは、ファイアウォールでログを取得するクエリをスケジュールし、ログデータの取得に使用される JobID を返します。
入力変数
入力変数によってアクションの初期動作が決まります。
| 変数 | 説明 |
|---|---|
| FirewallIpAddress [文字列] | ファイアウォールの IP アドレス。この入力変数は必須です。 |
| FirewallApiKey [文字列] | ファイアウォールの API アクセスキー。この入力変数は必須です。 |
| FirewallLogType [文字列] | 取得するログデータのタイプ (threat に設定)。この入力変数は必須です。 |
| FirewallLogFilterQuery [文字列] | ファイアウォール上のログを検索するために実行されるクエリ。この入力変数は必須です。 |
| LogDirection [文字列] | ログの表示を古い順にするか (逆方向)、新しい順 (順方向) にするかを指定します。 |
| LogNumber [文字列] | 取得するログの数を指定します。 |
| LogSkipCount [文字列] | ログ取得時にスキップするログの数を指定します。 |
出力変数
出力変数には、後続のアクションで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。
| 変数 | 説明 |
|---|---|
| QueuedJobID [文字列] | ファイアウォールから返されたジョブ ID。 |
| JobScheduled [文字列] | ジョブがファイアウォールに送信されたかどうか (成功または失敗) を指定します。 |
| error [文字列] | 返されたエラー。 |
[Palo Alto ファイアウォール - ジョブデータ (Palo Alto Firewall- Job Data)] アクション
[Palo Alto ファイアウォール:ログを取得] アクションがファイアウォールへの検索クエリをキューに入れ、ジョブが実行された後、[Palo Alto ファイアウォール:ジョブデータアクション] アクションがファイアウォールから脅威ログデータを取得します。
入力変数
入力変数によってアクションの初期動作が決まります。すべての入力フィールドは必須です。
| 変数 | 説明 |
|---|---|
| FirewallIpAddress [文字列] | ファイアウォールの IP アドレス。 |
| FirewallApiKey [文字列] | ファイアウォールの API アクセスキー。 |
| JobID [文字列] | キューに格納されたジョブの ID。 |
出力変数
出力変数には、後続のアクションで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。
| 変数 | 説明 |
|---|---|
| commandStatus [文字列] | データがファイアウォールから取得されたかどうか (成功または失敗) を指定します。 |
| JobData [文字列] | ファイアウォールから収集されたデータ。 |
| error [文字列] | 返されたエラー。 |