Recoger registros de IOC de Palo Alto Networks

Disponible en:

Información general

Este analizador extrae datos de IOC de los registros JSON de Autofocus de Palo Alto Networks y asigna los campos a UDM. Gestiona los indicadores de dominio, IPv4 e IPv6, prioriza el dominio y convierte las direcciones IP al formato adecuado. Elimina los tipos de indicadores no admitidos y asigna la categoría MALWARE de forma predeterminada, a menos que se identifique específicamente Trojan en el mensaje.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado a Palo Alto AutoFocus.

Configurar la licencia de Palo Alto AutoFocus

  1. Inicia sesión en el portal de asistencia de Palo Alto.
  2. Vaya a Recursos > Licencias de sitio.
  3. Selecciona Añadir licencia de sitio.
  4. Introduce el código.

Obtener la clave de API de Palo Alto AutoFocus

  1. Inicia sesión en el portal de asistencia de Palo Alto.
  2. Vaya a Recursos > Licencias de sitio.
  3. Busca la licencia de Palo Alto AutoFocus.
  4. En la columna Acciones, haz clic en Habilitar.
  5. Haz clic en Clave de API en la columna Clave de API.
  6. Copia y guarda la clave de API de la barra superior.

Crear un feed personalizado de Palo Alto AutoFocus

  1. Inicia sesión en Palo Alto AutoFocus.
  2. Vaya a Feeds.
  3. Seleccione un feed que ya haya creado. Si no hay ningún feed, crea uno.
  4. Haz clic en Añadir Crear feed.
  5. Proporciona un nombre descriptivo.
  6. Crea una consulta.
  7. Selecciona URL como método de salida.
  8. Haz clic en Guardar.
  9. Accede a los detalles del feed:
    • Copia y guarda el feed <ID> de la URL. (Por ejemplo, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • Copia y guarda el nombre del feed.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de Autofocus de Palo Alto).
  5. Seleccione API de terceros como Tipo de fuente.
  6. Selecciona PAN Autofocus como Tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifique valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: clave de API usada para autenticar en autofocus.paloaltonetworks.com en formato apiKey:<value>. Sustituye <value> por la clave de API de AutoFocus que has copiado anteriormente.
    • ID del feed: ID del feed personalizado.
    • Nombre del feed: nombre del feed personalizado.
  9. Haz clic en Siguiente.
  10. Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
indicator.indicatorType indicator.indicatorType Se asigna directamente desde el registro sin procesar. Se ha convertido a mayúsculas.
indicator.indicatorValue event.ioc.domain_and_ports.domain Se asigna si indicator.indicatorType es DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Se asigna si indicator.indicatorType coincide con "IP(V4|V6|)(_ADDRESS|)". Se convierte al formato de dirección IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Se asigna si está presente. Se ha convertido en una cadena.
tags.0.description event.ioc.description Se asigna si está presente en la primera etiqueta (índice 0). El analizador lo define como PAN Autofocus IOC. El analizador lo define como HIGH. Se asigna el valor TROJAN si el campo message contiene Trojan. De lo contrario, se asigna el valor MALWARE.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.