IOC-Protokolle von Palo Alto Networks erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert IOC-Daten aus JSON-Logs von Palo Alto Networks Autofocus und ordnet Felder dem UDM zu. Es verarbeitet Domain-, IPv4- und IPv6-Indikatoren, wobei domain priorisiert und IP-Adressen in das entsprechende Format konvertiert werden. Nicht unterstützte Indikatortypen werden entfernt und die Kategorisierung wird standardmäßig auf MALWARE festgelegt, sofern in der Nachricht nicht ausdrücklich Trojaner angegeben ist.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf Palo Alto AutoFocus.

Palo Alto AutoFocus-Lizenz konfigurieren

  1. Melden Sie sich im Palo Alto-Kundensupportportal an.
  2. Rufen Sie Assets > Site Licenses auf.
  3. Wählen Sie Website-Lizenz hinzufügen aus.
  4. Geben Sie den Code ein.

Palo Alto AutoFocus API-Schlüssel abrufen

  1. Melden Sie sich im Palo Alto-Kundensupportportal an.
  2. Rufen Sie Assets > Site Licenses auf.
  3. Suchen Sie die Palo Alto AutoFocus-Lizenz.
  4. Klicken Sie in der Spalte „Aktionen“ auf Aktivieren.
  5. Klicken Sie in der Spalte „API-Schlüssel“ auf API-Schlüssel.
  6. Kopieren und Speichern Sie den API-Schlüssel aus der oberen Leiste.

Benutzerdefinierten Palo Alto AutoFocus-Feed erstellen

  1. Melden Sie sich in Palo Alto AutoFocus an.
  2. Gehen Sie zu Feeds.
  3. Wählen Sie einen bereits erstellten Feed aus. Wenn kein Feed vorhanden ist, erstellen Sie einen.
  4. Klicken Sie auf Hinzufügen Feed erstellen.
  5. Geben Sie einen aussagekräftigen Namen an.
  6. Erstellen Sie eine Abfrage.
  7. Wählen Sie als Ausgabemethode die Option URL aus.
  8. Klicken Sie auf Speichern.
  9. Rufen Sie die Feeddetails auf:
    • Kopieren und Speichern Sie den Feed <ID> aus der URL. Beispiel: https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2
    • Kopieren Sie den Feednamen und speichern Sie ihn.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Palo Alto Autofocus Logs.
  5. Wählen Sie Drittanbieter-API als Quelltyp aus.
  6. Wählen Sie PAN Autofocus als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:
    • HTTP-Authentifizierungsheader: API-Schlüssel zur Authentifizierung bei autofocus.paloaltonetworks.com im Format apiKey:<value>. Ersetzen Sie <value> durch den zuvor kopierten AutoFocus API-Schlüssel.
    • Feed-ID: Benutzerdefinierte Feed-ID.
    • Feedname: Name des benutzerdefinierten Feeds.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • HTTP-Authentifizierungsheader: API-Schlüssel zur Authentifizierung bei autofocus.paloaltonetworks.com im Format apiKey:<value>. Ersetzen Sie <value> durch den zuvor kopierten AutoFocus API-Schlüssel.
  • Feed-ID: Benutzerdefinierte Feed-ID.
  • Feedname: Name des benutzerdefinierten Feeds.

Erweiterte Optionen

  • Feedname:Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp:Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace:Der mit dem Feed verknüpfte Namespace.
  • Aufnahmelabels:Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
indicator.indicatorType indicator.indicatorType Direkt aus dem Rohlog zugeordnet. In Großbuchstaben umgewandelt.
indicator.indicatorValue event.ioc.domain_and_ports.domain Wird zugeordnet, wenn indicator.indicatorType DOMAIN ist.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Wird zugeordnet, wenn indicator.indicatorType mit „IP(V4|V6|)(_ADDRESS|)" übereinstimmt. In IP-Adressformat konvertiert.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Wird zugeordnet, sofern vorhanden. In String umgewandelt.
tags.0.description event.ioc.description Wird zugeordnet, sofern für das erste Tag (Index 0) vorhanden. Wird vom Parser auf PAN Autofocus IOC festgelegt. Wird vom Parser auf HIGH gesetzt. Auf TROJAN setzen, wenn das Feld message Trojan enthält. Andernfalls auf MALWARE setzen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten