Collecter les journaux d'IOC Palo Alto Networks

Compatible avec :

Présentation

Ce parseur extrait les données d'IOC des journaux JSON Palo Alto Networks Autofocus, en mappant les champs à l'UDM. Il gère les indicateurs de domaine, IPv4 et IPv6, en privilégiant le domaine et en convertissant les adresses IP au format approprié. Il supprime les types d'indicateurs non compatibles et attribue par défaut la catégorie MALWARE, sauf si Trojan est spécifiquement identifié dans le message.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • Accès privilégié à Palo Alto AutoFocus.

Configurer la licence Palo Alto AutoFocus

  1. Connectez-vous au portail d'assistance client de Palo Alto.
  2. Accédez à Composants > Licences pour le site.
  3. Sélectionnez Ajouter une licence de site.
  4. Saisissez le code.

Obtenir une clé API Palo Alto AutoFocus

  1. Connectez-vous au portail d'assistance client de Palo Alto.
  2. Accédez à Composants > Licences pour le site.
  3. Recherchez la licence Palo Alto AutoFocus.
  4. Cliquez sur Activer dans la colonne "Actions".
  5. Cliquez sur Clé API dans la colonne "Clé API".
  6. Copiez et enregistrez la clé API dans la barre supérieure.

Créer un flux personnalisé Palo Alto AutoFocus

  1. Connectez-vous à Palo Alto AutoFocus.
  2. Accédez à Flux.
  3. Sélectionnez un flux déjà créé. Si aucun flux n'est présent, créez-en un.
  4. Cliquez sur add Créer un flux.
  5. Indiquez un nom descriptif.
  6. Créez une requête.
  7. Sélectionnez la méthode Output (Sortie) et définissez-la sur URL.
  8. Cliquez sur Enregistrer.
  9. Accédez aux détails du flux :
    • Copiez et enregistrez le flux <ID> à partir de l'URL. (Par exemple, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • Copiez et enregistrez le nom du flux.

Configurer des flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Palo Alto Autofocus).
  5. Sélectionnez API tierce comme type de source.
  6. Sélectionnez PAN Autofocus comme type de journal.
  7. Cliquez sur Suivant.
  8. Spécifiez les valeurs des paramètres d'entrée suivants :
    • En-tête HTTP d'authentification : clé API utilisée pour s'authentifier auprès de autofocus.paloaltonetworks.com au format apiKey:<value>. Remplacez <value> par la clé API AutoFocus copiée précédemment.
    • ID du flux : ID du flux personnalisé.
    • Nom du flux : nom personnalisé du flux.
  9. Cliquez sur Suivant.
  10. Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
indicator.indicatorType indicator.indicatorType Directement mappé à partir du journal brut. Converti en majuscules.
indicator.indicatorValue event.ioc.domain_and_ports.domain Mappé si indicator.indicatorType est DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Mappé si indicator.indicatorType correspond à "IP(V4|V6|)(_ADDRESS|)". Converti au format d'adresse IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Mappé s'il est présent. Converti en chaîne.
tags.0.description event.ioc.description Mappé s'il est présent pour le premier tag (index 0). Défini sur PAN Autofocus IOC par l'analyseur. Définie sur HIGH par l'analyseur. Définissez la valeur sur TROJAN si le champ message contient Trojan, sinon définissez-la sur MALWARE.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.