Fluxo de trabalho Obter dados de log
Se Security Incident Response, Inteligência contra ameaçase Palo Alto Networks - Firewall estiverem ativados, o fluxo de trabalho Palo Alto Networks - Obter dados de log das Operações de segurança será executado automaticamente quando o IP de origem dos observáveis em um incidente de segurança for alterado.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
Firewall Palo Alto: atividade Obter chave de API
Esta atividade recupera a chave de API do firewall.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade. Todas as entradas de variáveis de entrada listadas são obrigatórias.
| Variável | Descrição |
|---|---|
| Nome de usuário [string] | O nome de usuário do administrador do firewall. |
| Senha [cadeia de caracteres] | A senha do administrador do firewall. |
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| APIKey [cadeia de caracteres] | A chave de API do firewall. |
Firewall Palo Alto: atividade Obter configuração do firewall
A atividade de fluxo de trabalho Palo Alto Firewall: Obter configuração de firewall obtém todas as informações de configuração de firewall relacionadas do banco de dados e as disponibiliza para uso pela atividade subsequente.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| firewallSysid [cadeia de caracteres] | O ID do sistema do firewall. Esta variável de entrada é obrigatória. |
| typeOfValueToBeBlocked [cadeia de caracteres] | O tipo de valor a ser bloqueado no firewall: IP, URL ou domínio. |
| firewallIPAddress [cadeia de caracteres] | O endereço IP do firewall. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| ipEDLName [cadeia de caracteres] | O nome da lista dinâmica externa para endereços IP. |
| urlEDLName [cadeia de caracteres] | O nome da lista dinâmica externa para URLs. |
| domainEDLName [cadeia de caracteres] | O nome da lista dinâmica externa para domínios. |
| firewallVersionSysId [cadeia de caracteres] | O ID do sistema para a versão do firewall. |
| updateEDLCommand [cadeia de caracteres] | O comando a ser usado para atualizar o EDL da origem. |
| ShowEDLDetailsCommand [cadeia de caracteres] | O comando a ser usado para obter os detalhes do EDL. |
| status [booliano] | Verdadeiro indica sucesso. Falso indica falha. |
| erro [cadeia de caracteres] | O erro, se houver, que ocorreu na atividade. |
| endpoint [Criptografado] | O endpoint criptografado do banco de dados. |
Firewall Palo Alto - Atividade Obter log
A atividade de fluxo de trabalho Palo Alto Firewall: Obter log programa uma consulta no firewall para recuperar logs e retorna um JobID usado para recuperar os dados de log.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall. Esta variável de entrada é obrigatória. |
| FirewallApiKey [cadeia de caracteres] | A chave de acesso de API do firewall. Esta variável de entrada é obrigatória. |
| FirewallLogType [cadeia de caracteres] | O tipo de dados de log a serem recuperados (definido como ameaça). Esta variável de entrada é obrigatória. |
| FirewallLogFilterQuery [cadeia de caracteres] | A consulta a ser executada para pesquisar logs no firewall. Esta variável de entrada é obrigatória. |
| LogDirection [cadeia de caracteres] | Especifica se os logs são mostrados na ordem mais antiga (para trás) ou mais recente (para frente). |
| LogNumber [cadeia de caracteres] | Especifica o número de logs a serem recuperados. |
| LogSkipCount [cadeia de caracteres] | Especifica o número de logs a serem ignorados ao fazer uma recuperação de log. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| QueuedJobID [cadeia de caracteres] | O ID do trabalho retornado do firewall. |
| Trabalho programado [cadeia de caracteres] | Especifica (sucesso ou falha) se o trabalho foi enviado para o firewall. |
| erro [cadeia de caracteres] | Todos os erros retornados. |
Firewall Palo Alto - Atividade de ação de dados de trabalho
Depois que a atividade Palo Alto Firewall: Obter log enfileira a consulta de pesquisa no firewall e o trabalho é executado, a atividade Palo Alto Firewall: Ação de dados do trabalho recupera os dados do log de ameaças do firewall.
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade. Todos os campos de entrada são obrigatórios.
| Variável | Descrição |
|---|---|
| FirewallIpAddress [cadeia de caracteres] | O endereço IP do firewall. |
| FirewallApiKey [cadeia de caracteres] | A chave de acesso de API do firewall. |
| JobID [cadeia de caracteres] | O ID do trabalho na fila. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes. A saída consiste em dados da configuração do firewall, bem como em dados gerados dinamicamente.
| Variável | Descrição |
|---|---|
| commandStatus [cadeia de caracteres] | Especifica (sucesso ou falha) se os dados foram recuperados do firewall. |
| Dados do trabalho [cadeia de caracteres] | Os dados coletados do firewall. |
| erro [cadeia de caracteres] | Todos os erros retornados. |