Fluxo de trabalho Obter dados de log

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

5 min. de leitura

Se Security Incident Response, Inteligência contra ameaçase Palo Alto Networks - Firewall estiverem ativados, o fluxo de trabalho Security Operations Palo Alto Networks - Obter dados de log será executado automaticamente quando o IP de origem dos observáveis em um incidente de segurança for alterado.

Antes de Iniciar

Função necessária: sn_si.analyst

Por Que e Quando Desempenhar Esta Tarefa

Durante a execução do fluxo de trabalho, as informações de configuração do firewall são recuperadas do banco de dados e a chave de API é recuperada do firewall. A atividade Obter log enfileira uma consulta de pesquisa no firewall. Quando a consulta é executada, ela retorna um ID de trabalho que é usado para recuperar dados de logs de ameaça do firewall. Ele anexa os dados do log como um arquivo XML ao incidente de segurança.

Fluxo de trabalho Obter dados de log — Figura 1. Security Operations Palo Alto Networks - Obter fluxo de trabalho de dados de log

Procedimento

Navegue até um incidente de segurança que contenha observáveis.
Clique na guia Observáveis de incidente de segurança.
Em IP de origem, adicione ou modifique o endereço IP.
Clique em Atualizar.
O fluxo de trabalho Security Operations Palo Alto Networks - Obter dados de log é executado e os dados de log de ameaças aprimorados são anexados ao incidente de segurança. As informações também são analisadas e exibidas na seção Logs de firewall na guia Dados de aprimoramento.

Firewall de Palo Alto: obter atividade de chave de API

Esta atividade recupera a chave de API do firewall.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da atividade. Todas as entradas de variáveis de entrada listadas são obrigatórias.

Tabela 1. Variáveis de entrada
Variável	Descrição
Nome de usuário [string]	O nome de usuário do administrador do firewall.
Senha [cadeia de caracteres]	A senha do administrador do firewall.
FirewallIpAddress [cadeia de caracteres]	O endereço IP do firewall.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.

Tabela 2. Variáveis de saída
Variável	Descrição
APIKey [cadeia de caracteres]	A chave de API do firewall.

Firewall de Palo Alto: atividade Obter configuração de firewall

A atividade de fluxo de trabalho Firewall de Palo Alto: Obter configuração de firewall obtém todas as informações de configuração de firewall relacionadas do banco de dados e as disponibiliza para uso pela atividade subsequente.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da atividade.

Tabela 3. Variáveis de entrada
Variável	Descrição
firewallSysid [cadeia de caracteres]	O ID do sistema do firewall. Esta variável de entrada é obrigatória.
typeOfValueToBeBlocked [cadeia de caracteres]	O tipo de valor a ser bloqueado no firewall: IP, URL ou domínio.
firewallIPAddress [cadeia de caracteres]	O endereço IP do firewall.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.

Tabela 4. Variáveis de saída
Variável	Descrição
ipEDLName [cadeia de caracteres]	O nome da lista dinâmica externa para endereços IP.
urlEDLName [cadeia de caracteres]	O nome da lista dinâmica externa para URLs.
domainEDLName [cadeia de caracteres]	O nome da lista dinâmica externa para domínios.
firewallVersionSysId [cadeia de caracteres]	O ID do sistema para a versão do firewall.
refreshEDLCommand [cadeia de caracteres]	O comando a ser usado para atualizar a EDL da origem.
ShowEDLDetailsCommand [cadeia de caracteres]	O comando a ser usado para obter os detalhes da EDL.
status [booliano]	Verdadeiro indica sucesso. Falso indica falha.
erro [cadeia de caracteres]	O erro, se houver, que ocorreu na atividade.
endpoint [Criptografado]	O endpoint criptografado do banco de dados.

Firewall Palo Alto - Obter atividade de log

A atividade de fluxo de trabalho Firewall Palo Alto: Obter log programa uma consulta no firewall para recuperar logs e retorna um JobID usado para recuperar os dados do log.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da atividade.

Tabela 5. Variáveis de entrada
Variável	Descrição
FirewallIpAddress [cadeia de caracteres]	O endereço IP do firewall. Esta variável de entrada é obrigatória.
FirewallApiKey [cadeia de caracteres]	A chave de acesso à API do firewall. Esta variável de entrada é obrigatória.
FirewallLogType [cadeia de caracteres]	O tipo de dados de log a serem recuperados (definido como ameaça). Esta variável de entrada é obrigatória.
FirewallLogFilterQuery [cadeia de caracteres]	A consulta a ser executada para pesquisar logs no firewall. Esta variável de entrada é obrigatória.
LogDirection [cadeia de caracteres]	Especifica se os logs são mostrados na ordem mais antiga primeiro (para trás) ou mais recente primeiro (para frente).
LogNumber [cadeia de caracteres]	Especifica o número de logs a serem recuperados.
LogSkipCount [cadeia de caracteres]	Especifica o número de logs a serem ignorados ao fazer uma recuperação de log.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.

Tabela 6. Variáveis de saída
Variável	Descrição
QueuedJobID [cadeia de caracteres]	O ID do trabalho retornado do firewall.
JobScheduled [cadeia de caracteres]	Especifica (sucesso ou falha) se o trabalho foi enviado para o firewall.
erro [cadeia de caracteres]	Todos os erros retornados.

Firewall Palo Alto - Atividade de ação de dados do trabalho

Depois que a atividade Firewall Palo Alto: Obter log enfileira a consulta de pesquisa no firewall e o trabalho é executado, a atividade Firewall Palo Alto: Ação de dados do trabalho recupera os dados do log de ameaças do firewall.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da atividade. Todos os campos de entrada são obrigatórios.

Tabela 7. Variáveis de entrada
Variável	Descrição
FirewallIpAddress [cadeia de caracteres]	O endereço IP do firewall.
FirewallApiKey [cadeia de caracteres]	A chave de acesso à API do firewall.
JobID [cadeia de caracteres]	O ID do trabalho enfileirado.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.

Tabela 8. Variáveis de saída
Variável	Descrição
commandStatus [cadeia de caracteres]	Especifica (sucesso ou falha) se os dados foram recuperados do firewall.
JobData [cadeia de caracteres]	Os dados coletados do firewall.
erro [cadeia de caracteres]	Todos os erros retornados.

Gravar conteúdo para registro como atividade de anexo

Esta atividade grava o conteúdo passado de uma entrada e cria um anexo designado para um determinado registro.

A atividade Gravar conteúdo para registro como anexo pode ser usada com qualquer fluxo de trabalho para gravar conteúdo e anexá-lo a um registro.

Variáveis de entrada

As variáveis de entrada determinam o comportamento inicial da atividade.

Tabela 9. Variáveis de entrada
Variável	Descrição
nome da tabela [cadeia de caracteres]	O nome da tabela para o registro. Este campo de entrada é obrigatório.
sysid [cadeia de caracteres]	O identificador do sistema (sys_id) de um registro de tarefa. Este campo de entrada é obrigatório.
carga	O conteúdo de texto sem formatação a ser gravado como anexo. Este campo de entrada é obrigatório.
nome do arquivo	O nome do arquivo do anexo.

Variáveis de saída

As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.

Tabela 10. Variáveis de saída
Variável	Descrição
resultado [cadeia de caracteres]	Indica se a atualização foi bem-sucedida.