Security Operations Palo Alto Networks - Fluxo de trabalho de verificar e bloquear valor

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 7 min. de leitura

    • Conforme os incidentes de segurança são criados e triados para identificar possíveis ameaças, você pode usar o fluxo de trabalho Security Operations Palo Alto Networks - Verificar e bloquear valor para verificar e atualizar automaticamente endereços IP, URLs e domínios usando listas dinâmicas externas definidas em Palo Alto Networks - Firewall.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho Security Operations Palo Alto Networks - Verificar e Bloquear Valor é executado quando as Solicitações de Bloqueio de Firewall são enviadas. A solicitação de bloqueio especifica o firewall a ser usado, o tipo de observável a ser verificado e bloqueado (se necessário) e o valor do bloqueio. Ou seja, o endereço IP, a URL ou o domínio em questão.

    Durante a execução do fluxo de trabalho, os comandos definidos em Palo Alto Networks Integration > Firewall > Comandos são executados. Os comandos Mostrar tipo (por exemplo, Mostrar-IP-ExternalDynamicList) determinam se o valor existe no firewall. Os comandos de tipo de atualização (por exemplo, Atualizar-IP-ExternalDynamicList) adicionam valores que não existem no firewall à lista de bloqueios.

    Depois que a atividade de Status bloqueado é executada, a aprovação de um administrador do sistema é necessária antes que o fluxo de trabalho possa prosseguir.

    Figura 1. Security Operations Palo Alto Networks - Fluxo de trabalho de verificar e bloquear valor
    Firewall da Palo Alto Networks - Verificar e bloquear fluxo de trabalho

    Procedimento

    1. Navegar até Palo Alto Networks Integration > Firewall > Solicitações de bloqueio.
    2. Clique em Nova.
    3. Preencha os campos no formulário, conforme apropriado.
      Campo Descrição
      Firewall Selecione o firewall a ser usado.
      Tipo de bloco Selecione o tipo de valor a ser verificado:
      • IP
      • URL
      • DOMÍNIO
      Valor do bloco Insira o valor do tipo selecionado a ser verificado no firewall.
    4. Clique em Enviar.

    Firewall de Palo Alto - Atividade Bloquear status da solicitação

    Esta atividade é chamada por outras atividades para definir o status da solicitação de bloqueio do Firewall como sucesso ou falha.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.

    Tabela 1. Variáveis de entrada
    Variável Descrição
    firewallBlockRequestSysid [cadeia de caracteres] O ID do sistema da solicitação de bloqueio do firewall. Esta variável de entrada é obrigatória.
    status [cadeia de caracteres] Indica se o trabalho de atualização foi executado: sucesso ou falha.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.

    Tabela 2. Variáveis de saída
    Variável Descrição
    resultado [cadeia de caracteres] Indica se o trabalho de atualização foi bem-sucedido ou não.

    Firewall de Palo Alto - Atividade Bloquear valor

    Depois que o fluxo de trabalho identifica um valor que não está no firewall, o registro é roteado para aprovação. Após a aprovação, esta atividade se conecta ao MID Server por meio de suas credenciais SSH e invoca um script que adiciona o valor à lista de bloqueios externos do firewall.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.
    Nota:
    Você deve inserir manualmente as variáveis de entrada para esta atividade e publicar o fluxo de trabalho. Se o fluxo de trabalho não for publicado, as variáveis de entrada não serão salvas para usuários que não sejam administradores.
    Tabela 3. Variáveis de entrada
    Variável Descrição
    toBeBlockedValue [cadeia de caracteres] O valor a ser adicionado à EDL se ainda não estiver presente. Esta variável de entrada é obrigatória.
    typeToBeBlocked [cadeia de caracteres] O tipo de valor a ser bloqueado: IP, URL ou domínio. Esta variável de entrada é obrigatória.
    targetHost [cadeia de caracteres] O MID Server no qual o script é executado.
    SSHCredentialTag [cadeia de caracteres] O marcador de credencial SSH definido no MID Server.
    scriptCommand [cadeia de caracteres] O script AppendValueToList.sh usado para adicionar o valor à EDL. Requer o caminho completo para o MID Server.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

    Tabela 4. Variáveis de saída
    Variável Descrição
    resultado [cadeia de caracteres] O resultado passado para a EDL.

    Firewall Palo Alto - Atividade de status bloqueado

    Esta atividade verifica se o valor (IP, URL ou domínio) está incluído em sua respectiva lista dinâmica externa/lista de bloqueios dinâmicos (EDL/DBL) no firewall. Os detalhes de EDL/DBL são obtidos do firewall usando um comando operacional e uma rotina é realizada para verificar se o valor está bloqueado no firewall.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade. Todas as entradas de variáveis de entrada listadas são obrigatórias.

    Tabela 5. Variáveis de entrada
    Variável Descrição
    valueToBeChecked [cadeia de caracteres] O valor na solicitação de bloqueio.
    showEDLDetailsCommand [cadeia de caracteres] O comando Lista dinâmica externa que está sendo usado para determinar se o valor existe no firewall.
    FirewallIpAddress [cadeia de caracteres] O endereço IP do firewall usado.
    FirewallApiKey [cadeia de caracteres] A chave de API do firewall.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente usando a mensagem da API Palo Alto Firewall Operational Command.

    Tabela 6. Variáveis de saída
    Variável Descrição
    commandResultado [cadeia de caracteres] Os resultados do firewall para o comando mostrar detalhes do EDL.
    blockStatus [booliano] Verdadeiro indica bloqueado. Falso indica não bloqueado.
    commandResponse [cadeia de caracteres] O status da resposta obtido do firewall para o comando mostrar detalhes do EDL.

    Firewall de Palo Alto: obter atividade de chave de API

    Esta atividade recupera a chave de API do firewall.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade. Todas as entradas de variáveis de entrada listadas são obrigatórias.

    Tabela 7. Variáveis de entrada
    Variável Descrição
    Nome de usuário [string] O nome de usuário do administrador do firewall.
    Senha [cadeia de caracteres] A senha do administrador do firewall.
    FirewallIpAddress [cadeia de caracteres] O endereço IP do firewall.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.

    Tabela 8. Variáveis de saída
    Variável Descrição
    APIKey [cadeia de caracteres] A chave de API do firewall.

    Firewall de Palo Alto: atividade Obter configuração de firewall

    A atividade de fluxo de trabalho Firewall de Palo Alto: Obter configuração de firewall obtém todas as informações de configuração de firewall relacionadas do banco de dados e as disponibiliza para uso pela atividade subsequente.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade.

    Tabela 9. Variáveis de entrada
    Variável Descrição
    firewallSysid [cadeia de caracteres] O ID do sistema do firewall. Esta variável de entrada é obrigatória.
    typeOfValueToBeBlocked [cadeia de caracteres] O tipo de valor a ser bloqueado no firewall: IP, URL ou domínio.
    firewallIPAddress [cadeia de caracteres] O endereço IP do firewall.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.

    Tabela 10. Variáveis de saída
    Variável Descrição
    ipEDLName [cadeia de caracteres] O nome da lista dinâmica externa para endereços IP.
    urlEDLName [cadeia de caracteres] O nome da lista dinâmica externa para URLs.
    domainEDLName [cadeia de caracteres] O nome da lista dinâmica externa para domínios.
    firewallVersionSysId [cadeia de caracteres] O ID do sistema para a versão do firewall.
    refreshEDLCommand [cadeia de caracteres] O comando a ser usado para atualizar a EDL da origem.
    ShowEDLDetailsCommand [cadeia de caracteres] O comando a ser usado para obter os detalhes da EDL.
    status [booliano] Verdadeiro indica sucesso. Falso indica falha.
    erro [cadeia de caracteres] O erro, se houver, que ocorreu na atividade.
    endpoint [Criptografado] O endpoint criptografado do banco de dados.

    Firewall Palo Alto - Atualizar atividade de EDL/DBL

    Esta atividade executa um comando operacional no firewall para atualizar a lista dinâmica externa da origem configurada no firewall. A saída desta atividade indica se o trabalho de atualização foi enfileirado.

    Variáveis de entrada

    As variáveis de entrada determinam o comportamento inicial da atividade. Todas as entradas de variáveis de entrada listadas são obrigatórias.

    Tabela 11. Variáveis de entrada
    Variável Descrição
    FirewallIpAddress [cadeia de caracteres] O endereço IP do firewall que está sendo atualizado.
    FirewallApiKey [cadeia de caracteres] A chave de API do firewall atualizada.
    FirewallCommand [cadeia de caracteres] O comando operacional a ser executado para colocar o trabalho de atualização na fila.

    Variáveis de saída

    As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.

    Tabela 12. Variáveis de saída
    Variável Descrição
    activity.Output.result [cadeia de caracteres] Uma cadeia de caracteres de texto para indicar se o trabalho de atualização foi enfileirado para ser executado: sucesso ou falha.