[ログデータの取得 (Get Log Data)] ワークフロー
セキュリティインシデントレスポンス、脅威インテリジェンス、および Palo Alto Networks - Firewall が有効になっている場合、セキュリティインシデント内の観測事象のソース IP が変更されたときに、[Security Operations Palo Alto Networks - ログデータの取得 (Security Operations Palo Alto Networks - Get Log Data)] ワークフローが自動的に実行されます。
始める前に
必要なロール:sn_si.analyst
このタスクについて
手順
[Palo Alto ファイアウォール:APIKey を取得] アクティビティ
このアクティビティは、ファイアウォールから API キーを取得します。
入力変数
アクティビティの初期動作が、入力変数によって決まります。リストされているすべての入力変数エントリーは必須です。
| 変数 | 説明 |
|---|---|
| Username [文字列] | ファイアウォール管理者のユーザー名。 |
| Password [文字列] | ファイアウォール管理者のパスワード。 |
| FirewallIpAddress [文字列] | ファイアウォールの IP アドレス。 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。
| 変数 | 説明 |
|---|---|
| APIKey [文字列] | ファイアウォール API キー。 |
[Palo Alto ファイアウォール:ファイアウォール設定を取得] アクティビティ
[Palo Alto ファイアウォール:ファイアウォール設定を取得] ワークフローアクティビティは、データベースから関連するすべてのファイアウォール設定情報を取得し、後続のアクティビティで使用できるようにします。
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| firewallSysid [文字列] | ファイアウォールのシステム ID。この入力変数は必須です。 |
| typeOfValueToBeBlocked [文字列] | ファイアウォールでブロックする値のタイプ:IP、URL、またはドメイン。 |
| firewallIPAddress [文字列] | ファイアウォールの IP アドレス。 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。
| 変数 | 説明 |
|---|---|
| ipEDLName [文字列] | IP アドレスの外部動的リスト名。 |
| urlEDLName [文字列] | URL の外部動的リスト名。 |
| domainEDLName [文字列] | ドメインの外部動的リスト名。 |
| firewallVersionSysId [文字列] | ファイアウォールバージョンのシステム ID。 |
| refreshEDLCommand [文字列] | ソースから EDL をリフレッシュするために使用するコマンド。 |
| ShowEDLDetailsCommand [文字列] | EDL の詳細を取得するために使用するコマンド。 |
| status [ブール] | True は成功を示します。False は失敗を示します。 |
| error [文字列] | アクティビティで発生したエラー (ある場合)。 |
| endpoint [暗号化] | データベースの暗号化されたエンドポイント。 |
[Palo Alto ファイアウォール:ログを取得] アクティビティ
[Palo Alto ファイアウォール:ログを取得] ワークフローアクティビティは、ログを取得するためにファイアウォール上のクエリをスケジュールし、ログデータの取得に使用される JobID を返します。
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| FirewallIpAddress [文字列] | ファイアウォールの IP アドレス。この入力変数は必須です。 |
| FirewallApiKey [文字列] | ファイアウォールの API アクセスキー。この入力変数は必須です。 |
| FirewallLogType [文字列] | 取得するログデータのタイプ (threat に設定)。この入力変数は必須です。 |
| FirewallLogFilterQuery [文字列] | ファイアウォール上のログを検索するために実行されるクエリ。この入力変数は必須です。 |
| LogDirection [文字列] | ログの表示を古い順にするか (逆方向)、新しい順 (順方向) にするかを指定します。 |
| LogNumber [文字列] | 取得するログの数を指定します。 |
| LogSkipCount [文字列] | ログ取得時にスキップするログの数を指定します。 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。
| 変数 | 説明 |
|---|---|
| QueuedJobID [文字列] | ファイアウォールから返されたジョブ ID。 |
| JobScheduled [文字列] | ジョブがファイアウォールに送信されたかどうか (成功または失敗) を指定します。 |
| error [文字列] | 返されたエラー。 |
[Palo Alto ファイアウォール:ジョブデータアクション] アクティビティ
[Palo Alto ファイアウォール:ログを取得] アクティビティがファイアウォールへの検索クエリをキューに入れ、ジョブが実行された後、[Palo Alto ファイアウォール:ジョブデータアクション] アクティビティがファイアウォールから脅威ログデータを取得します。
入力変数
アクティビティの初期動作が、入力変数によって決まります。すべての入力フィールドは必須です。
| 変数 | 説明 |
|---|---|
| FirewallIpAddress [文字列] | ファイアウォールの IP アドレス。 |
| FirewallApiKey [文字列] | ファイアウォールの API アクセスキー。 |
| JobID [文字列] | キューに格納されたジョブの ID。 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。出力は、ファイアウォール構成のデータと、動的に生成されたデータで構成されます。
| 変数 | 説明 |
|---|---|
| commandStatus [文字列] | データがファイアウォールから取得されたかどうか (成功または失敗) を指定します。 |
| JobData [文字列] | ファイアウォールから収集されたデータ。 |
| error [文字列] | 返されたエラー。 |
[コンテンツを添付ファイルとしてレコードに書き込み] アクティビティ
このアクティビティは、入力から渡されたコンテンツを書き込み、指定された添付ファイルを所定のレコードに作成します。
[コンテンツを添付ファイルとしてレコードに書き込み] アクティビティを任意のワークフローで使用して、コンテンツを作成してレコードに添付できます。
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| tablename [文字列] | レコードのテーブル名。この入力フィールドは必須です。 |
| sysid [文字列] | タスクレコードのシステム識別子 (sys_id)。この入力フィールドは必須です。 |
| payload | 添付ファイルとして書き込まれるプレーンテキストコンテンツ。この入力フィールドは必須です。 |
| ファイル名 | 添付ファイル名。 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| result [文字列] | 更新が成功したかどうかを示します。 |