Security Operations Palo Alto Networks - 값 확인 및 차단 워크플로우

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 6분

    • 잠재적 위협을 식별하기 위해 보안 인시던트가 생성되고 분류될 때 Security Operations Palo Alto Networks - 값 확인 및 차단 워크플로우를 사용하면 에 Palo Alto Networks - Firewall정의된 외부 동적 목록을 사용하여 IP 주소, URL 및 도메인을 자동으로 확인하고 업데이트할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    보안 운영 Palo Alto Networks - 값 확인 및 차단 워크플로우는 방화벽 차단 요청이 제출될 때 실행됩니다. 차단 요청은 사용할 방화벽, 확인 및 차단할 옵저버블 유형(필요한 경우) 및 차단 값을 지정합니다. 즉, 해당 IP 주소, URL 또는 도메인입니다.

    워크플로우 실행 중에 아래에 정의된 명령 Palo Alto Networks 통합 > 방화벽 > 명령 실행됩니다. Show type 명령(예: Show-IP-ExternalDynamicList)은 값이 방화벽에 있는지 여부를 결정합니다. 새로 고침 유형 명령(예: Refresh-IP-ExternalDynamicList)은 방화벽에 없는 값을 차단 목록에 추가합니다.

    차단 상태 활동이 실행된 후 시스템 관리자의 승인이 있어야 워크플로우를 진행할 수 있습니다.

    그림 1. Security Operations Palo Alto Networks - 값 확인 및 차단 워크플로우
    Palo Alto Networks 방화벽 - 워크플로우 확인 및 차단

    프로시저

    1. 다음으로 이동 Palo Alto Networks 통합 > 방화벽 > 차단 요청.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 적절히 입력합니다.
      필드 설명
      방화벽 사용할 방화벽을 선택합니다.
      블록 유형 확인할 값의 유형을 선택합니다.
      • IP
      • URL
      • DOMAIN
      블록 값 방화벽에서 확인할 선택한 유형의 값을 입력합니다.
    4. 제출을 클릭합니다.

    Palo Alto 방화벽 - 요청 상태 활동 차단

    이 활동은 방화벽 차단 요청 상태를 성공 또는 실패로 설정하기 위해 다른 활동에 의해 호출됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 1. 입력 변수
    변수 설명
    firewallBlockRequestSysid [문자열] 방화벽 차단 요청의 시스템 ID입니다. 이 입력 변수는 필수입니다.
    status [문자열] 새로 고침 작업의 성공 또는 실패 여부를 나타냅니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 2. 출력 변수
    변수 설명
    결과 [string] 새로 고침 작업의 성공 또는 실패 여부를 나타냅니다.

    Palo Alto 방화벽 - 블록 가치 활동

    워크플로우가 방화벽에 없는 값을 식별하면 해당 기록은 승인을 위해 라우팅됩니다. 승인 시 이 활동은 SSH 자격 증명을 통해 MID 서버에 연결하고 방화벽 외부 차단 목록에 값을 추가하는 스크립트를 호출합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.
    주:
    이 활동에 대한 입력 변수를 수동으로 입력한 다음 워크플로우를 게시해야 합니다. 워크플로우가 게시되지 않은 경우 관리자가 아닌 사용자에 대한 입력 변수가 저장되지 않습니다.
    표 3. 입력 변수
    변수 설명
    toBeBlockedValue [문자열] EDL에 추가할 값입니다(아직 없는 경우). 이 입력 변수는 필수입니다.
    typeToBeBlocked [문자열] 차단할 값의 유형(IP, URL 또는 도메인)입니다. 이 입력 변수는 필수입니다.
    targetHost [문자열] 스크립트가 실행되는 MID 서버입니다.
    SSHCredentialTag [문자열] MID Server에 정의된 SSH 자격 증명 태그입니다.
    scriptCommand [문자열] EDL에 값을 추가하는 데 사용되는 AppendValueToList.sh 스크립트입니다. MID Server에 대한 전체 경로가 필요합니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다.

    표 4. 출력 변수
    변수 설명
    결과 [string] 결과는 EDL에 전달됩니다.

    Palo Alto 방화벽 - 차단 상태 활동

    이 활동은 값(IP, URL 또는 도메인)이 방화벽의 해당 EDL/DBL(외부 동적 목록/동적 차단 목록)에 포함되어 있는지 확인합니다. EDL/DBL 상세 정보는 운영 명령을 사용하여 방화벽에서 가져오고, 방화벽에서 값이 차단되었는지 확인하기 위해 루틴이 수행됩니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다. 나열된 모든 입력 변수 항목은 필수입니다.

    표 5. 입력 변수
    변수 설명
    valueToBeChecked [문자열] 차단 요청의 값입니다.
    showEDLDetailsCommand [문자열] 값이 방화벽에 있는지 여부를 확인하는 데 사용되는 외부 동적 목록 명령입니다.
    FirewallIpAddress [문자열] 사용된 방화벽의 IP 주소입니다.
    FirewallApiKey [문자열] 방화벽 API 키입니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 Palo Alto 방화벽 운영 명령 API 메시지를 사용하여 동적으로 생성된 데이터로 구성됩니다.

    표 6. 출력 변수
    변수 설명
    commandResult [문자열] 명령에 대한 방화벽의 show EDL Details 결과입니다.
    blockedStatus [부울] 예는 차단됨을 나타냅니다. False는 차단되지 않았음을 나타냅니다.
    commandResponse [문자열] show EDL Details 명령에 대해 방화벽에서 가져온 응답 상태입니다.

    Palo Alto 방화벽: API 키 가져오기 활동

    이 활동은 방화벽에서 API 키를 검색합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다. 나열된 모든 입력 변수 항목은 필수입니다.

    표 7. 입력 변수
    변수 설명
    사용자 이름 [string] 방화벽 관리자의 사용자 이름입니다.
    암호 [string] 방화벽 관리자 암호입니다.
    FirewallIpAddress [문자열] 방화벽의 IP 주소입니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 8. 출력 변수
    변수 설명
    APIKey [문자열] 방화벽 API 키입니다.

    Palo Alto 방화벽: 방화벽 구성 가져오기 활동

    Palo Alto 방화벽: 방화벽 구성 가져오기 워크플로우 활동은 데이터베이스에서 모든 관련 방화벽 구성 정보를 가져오고 후속 활동에서 사용할 수 있도록 합니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다.

    표 9. 입력 변수
    변수 설명
    firewallSysid [문자열] 방화벽의 시스템 ID입니다. 이 입력 변수는 필수입니다.
    typeOfValueToBeBlocked [문자열] 방화벽에서 차단할 값의 유형(IP, URL 또는 도메인)입니다.
    firewallIPAddress [문자열] 방화벽의 IP 주소입니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 10. 출력 변수
    변수 설명
    ipEDLName [문자열] IP 주소의 외부 동적 목록 이름입니다.
    urlEDLName [문자열] URL의 외부 동적 목록 이름입니다.
    domainEDLName [문자열] 도메인에 대한 외부 동적 목록 이름입니다.
    firewallVersionSysId [문자열] 방화벽 버전의 시스템 ID입니다.
    refreshEDLCommand [문자열] 소스에서 EDL을 새로 고치는 데 사용할 명령입니다.
    ShowEDLDetailsCommand [문자열] EDL 상세 정보를 가져오는 데 사용할 명령입니다.
    status [부울] True는 성공을 나타냅니다. False는 실패를 나타냅니다.
    오류 [string] 활동에서 발생한 오류입니다(있는 경우).
    엔드포인트 [암호화됨] 데이터베이스의 암호화된 엔드포인트입니다.

    Palo Alto 방화벽 - EDL/DBL 활동 새로 고침

    이 활동은 방화벽에서 운영 명령을 실행하여 방화벽에 구성된 소스에서 외부 동적 목록을 새로 고칩니다. 이 활동의 출력은 새로 고침 작업이 큐에 대기되었는지 여부를 나타냅니다.

    입력 변수

    입력 변수는 활동의 초기 동작을 결정합니다. 나열된 모든 입력 변수 항목은 필수입니다.

    표 11. 입력 변수
    변수 설명
    FirewallIpAddress [문자열] 새로 고칠 방화벽의 IP 주소입니다.
    FirewallApiKey [문자열] 새로 고친 방화벽 API 키입니다.
    FirewallCommand [문자열] 새로 고침 작업을 대기하기 위해 실행할 운영 명령입니다.

    출력 변수

    출력 변수에는 후속 활동에서 사용할 수 있는 데이터가 포함됩니다. 출력은 방화벽 구성의 데이터와 동적으로 생성된 데이터로 구성됩니다.

    표 12. 출력 변수
    변수 설명
    활동. Output.result [문자열] 새로 고침 작업이 실행 대기 중인지 여부를 나타내는 텍스트 문자열: 성공 또는 실패.