Operações de segurança Palo Alto Networks - Fluxo de trabalho Verificar e bloquear valor
Como os incidentes de segurança são criados e triados para identificar possíveis ameaças, você pode usar o fluxo de trabalho Palo Alto Networks - Verificar e bloquear valor das Operações de segurança para verificar e atualizar automaticamente endereços IP, URLs e domínios usando listas dinâmicas externas definidas em Palo Alto Networks - Firewall.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Durante a execução do fluxo de trabalho, os comandos definidos em são executados. Os comandos Mostrar tipo (por exemplo, Show-IP-ExternalDynamicList) determinam se o valor existe no firewall. Os comandos de tipo de atualização (por exemplo, Refresh-IP-ExternalDynamicList) adicionam à lista de bloqueios um valor que não existe no firewall.
Depois que a atividade Status bloqueado é executada, é necessária a aprovação de um administrador do sistema para que o fluxo de trabalho possa prosseguir.
Procedimento
Firewall da Palo Alto - Atividade Bloquear status da solicitação
Esta atividade é chamada por outras atividades para definir o status da solicitação de bloqueio do Firewall como sucesso ou falha.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| firewallBlockRequestSysid [cadeia de caracteres] | O ID do sistema da solicitação de bloqueio do firewall. Esta variável de entrada é obrigatória. |
| status [cadeia de caracteres] | Indica se o trabalho de atualização foi executado: sucesso ou falha. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| resultado [cadeia de caracteres] | Indica se o trabalho de atualização foi bem-sucedido ou não. |
Firewall Palo Alto - Atividade Bloquear valor
Depois que o fluxo de trabalho identifica um valor que não está no firewall, o registro é roteado para aprovação. Após a aprovação, esta atividade se conecta ao MID Server por meio de suas credenciais SSH e invoca um script que adiciona o valor à lista de bloqueios externos do firewall.
Variáveis de entrada
| Variável | Descrição |
|---|---|
| toBeBlockedValue [cadeia de caracteres] | O valor a ser adicionado ao EDL, caso ainda não esteja presente. Esta variável de entrada é obrigatória. |
| typeToBeBlocked [cadeia de caracteres] | O tipo de valor a ser bloqueado: IP, URL ou domínio. Esta variável de entrada é obrigatória. |
| targetHost [cadeia de caracteres] | O MID Server no qual o script é executado. |
| SSHCredentialTag [cadeia de caracteres] | O marcador de credencial SSH definido no MID Server. |
| scriptCommand [cadeia de caracteres] | O script AppendValueToList.sh usado para adicionar o valor ao EDL. Ele requer o caminho completo para o MID Server. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| resultado [cadeia de caracteres] | O resultado foi passado para o EDL. |
Atividade Firewall Palo Alto - Status bloqueado
Esta atividade verifica se o valor (IP, URL ou domínio) está incluído na respectiva lista dinâmica externa/lista de bloqueios dinâmicos (EDL/DBL) no firewall. Os detalhes de EDL/DBL são obtidos do firewall usando um comando operacional e uma rotina é executada para verificar se o valor está bloqueado no firewall.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade. Todas as entradas de variáveis de entrada listadas são obrigatórias.
| Variável | Descrição |
|---|---|
| valueToBeChecked [cadeia de caracteres] | O valor na solicitação de bloqueio. |
| showEDLDetailsCommand [cadeia de caracteres] | O comando Lista dinâmica externa que está sendo usado para determinar se o valor existe no firewall. |
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall usado. |
| FirewallApiKey [cadeia de caracteres] | A chave de API do firewall. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como dados gerados dinamicamente usando a mensagem da API Palo Alto Firewall Operational Command.
| Variável | Descrição |
|---|---|
| commandResult [cadeia de caracteres] | Os resultados do firewall para o comando mostrar detalhes de EDL. |
| blockStatus [booliano] | Verdadeiro indica bloqueado. Falso indica que não está bloqueado. |
| commandResponse [cadeia de caracteres] | O status de resposta obtido do firewall para o comando mostrar detalhes de EDL. |
Firewall Palo Alto: atividade Obter chave de API
Esta atividade recupera a chave de API do firewall.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade. Todas as entradas de variáveis de entrada listadas são obrigatórias.
| Variável | Descrição |
|---|---|
| Nome de usuário [string] | O nome de usuário do administrador do firewall. |
| Senha [cadeia de caracteres] | A senha do administrador do firewall. |
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| APIKey [cadeia de caracteres] | A chave de API do firewall. |
Firewall Palo Alto: atividade Obter configuração do firewall
A atividade de fluxo de trabalho Palo Alto Firewall: Obter configuração de firewall obtém todas as informações de configuração de firewall relacionadas do banco de dados e as disponibiliza para uso pela atividade subsequente.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| firewallSysid [cadeia de caracteres] | O ID do sistema do firewall. Esta variável de entrada é obrigatória. |
| typeOfValueToBeBlocked [cadeia de caracteres] | O tipo de valor a ser bloqueado no firewall: IP, URL ou domínio. |
| firewallIPAddress [cadeia de caracteres] | O endereço IP do firewall. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| ipEDLName [cadeia de caracteres] | O nome da lista dinâmica externa para endereços IP. |
| urlEDLName [cadeia de caracteres] | O nome da lista dinâmica externa para URLs. |
| domainEDLName [cadeia de caracteres] | O nome da lista dinâmica externa para domínios. |
| firewallVersionSysId [cadeia de caracteres] | O ID do sistema para a versão do firewall. |
| updateEDLCommand [cadeia de caracteres] | O comando a ser usado para atualizar o EDL da origem. |
| ShowEDLDetailsCommand [cadeia de caracteres] | O comando a ser usado para obter os detalhes do EDL. |
| status [booliano] | Verdadeiro indica sucesso. Falso indica falha. |
| erro [cadeia de caracteres] | O erro, se houver, que ocorreu na atividade. |
| endpoint [Criptografado] | O endpoint criptografado do banco de dados. |
Firewall Palo Alto - Atualizar atividade de EDL/DBL
Esta atividade executa um comando operacional no firewall para atualizar a lista dinâmica externa da origem configurada no firewall. A saída desta atividade indica se o trabalho de atualização foi enfileirado.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade. Todas as entradas de variáveis de entrada listadas são obrigatórias.
| Variável | Descrição |
|---|---|
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall que está sendo atualizado. |
| FirewallApiKey [cadeia de caracteres] | A chave de API do firewall atualizada. |
| FirewallCommand [cadeia de caracteres] | O comando operacional a ser executado para enfileirar o trabalho de atualização. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| activity.Output.result [cadeia de caracteres] | Uma cadeia de caracteres de texto para indicar se o trabalho de atualização foi enfileirado para ser executado: sucesso ou falha. |