Recopila registros de IOC de Palo Alto Networks

Compatible con:

Descripción general

Este analizador extrae datos de IOC de los registros JSON de Autofocus de Palo Alto Networks y asigna campos al UDM. Maneja indicadores de dominio, IPv4 e IPv6, prioriza el dominio y convierte las direcciones IP al formato adecuado. Descarta los tipos de indicadores no admitidos y establece la categorización predeterminada en MALWARE, a menos que se identifique específicamente Trojan en el mensaje.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado a Palo Alto AutoFocus

Configura la licencia de Palo Alto AutoFocus

  1. Accede al Portal de asistencia al cliente de Palo Alto.
  2. Ve a Activos > Licencias del sitio.
  3. Selecciona Agregar licencia del sitio.
  4. Ingresa el código.

Cómo obtener la clave de API de Palo Alto AutoFocus

  1. Accede al Portal de asistencia al cliente de Palo Alto.
  2. Ve a Activos > Licencias del sitio.
  3. Ubica la licencia de Palo Alto AutoFocus.
  4. Haz clic en Habilitar en la columna Acciones.
  5. Haz clic en Clave de API en la columna Clave de API.
  6. Copia y guarda la clave de API de la barra superior.

Crea un feed personalizado de Palo Alto AutoFocus

  1. Accede a Palo Alto AutoFocus.
  2. Ve a Feeds.
  3. Selecciona un feed ya creado. Si no hay ningún feed, continúa y crea uno.
  4. Haz clic en add Crear un feed.
  5. Proporciona un nombre descriptivo.
  6. Crea una consulta.
  7. Selecciona el método de salida como URL.
  8. Haz clic en Guardar.
  9. Accede a los detalles del feed:
    • Copia y guarda el feed <ID> de la URL. (Por ejemplo, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • Copia y guarda el nombre del feed.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de Palo Alto Autofocus.
  5. Selecciona API de terceros como el Tipo de origen.
  6. Selecciona PAN Autofocus como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifica valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: Clave de API que se usa para autenticarse en autofocus.paloaltonetworks.com en formato apiKey:<value> Reemplaza <value> por la clave de la API de AutoFocus que copiaste antes.
    • ID del feed: Es el ID del feed personalizado.
    • Nombre del feed: Nombre del feed personalizado.
  9. Haz clic en Siguiente.
  10. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • Encabezado HTTP de autenticación: Clave de API que se usa para autenticarse en autofocus.paloaltonetworks.com en formato apiKey:<value> Reemplaza <value> por la clave de la API de AutoFocus que copiaste antes.
  • ID del feed: Es el ID del feed personalizado.
  • Nombre del feed: Nombre del feed personalizado.

Opciones avanzadas

  • Nombre del feed: Es un valor predeterminado que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
indicator.indicatorType indicator.indicatorType Se asigna directamente desde el registro sin procesar. Se convirtió a mayúsculas.
indicator.indicatorValue event.ioc.domain_and_ports.domain Se asigna si indicator.indicatorType es DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Se asigna si indicator.indicatorType coincide con "IP(V4|V6|)(_ADDRESS|)". Se convierte al formato de dirección IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Se asigna si está presente. Se convirtió en una cadena.
tags.0.description event.ioc.description Se asigna si está presente para la primera etiqueta (índice 0). El analizador lo establece en PAN Autofocus IOC. El analizador lo establece en HIGH. Se establece en TROJAN si el campo message contiene Trojan; de lo contrario, se establece en MALWARE.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.