Collecter les journaux d'indicateurs de compromission Palo Alto Networks

Compatible avec :

Présentation

Ce parseur extrait les données d'IOC des journaux JSON Palo Alto Networks Autofocus, en mappant les champs à l'UDM. Il gère les indicateurs de domaine, IPv4 et IPv6, en privilégiant le domaine et en convertissant les adresses IP au format approprié. Il supprime les types d'indicateurs non compatibles et attribue par défaut la catégorie MALWARE, sauf si Trojan est spécifiquement identifié dans le message.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • Accès privilégié à Palo Alto AutoFocus.

Configurer la licence Palo Alto AutoFocus

  1. Connectez-vous au portail d'assistance client de Palo Alto.
  2. Accédez à Composants > Licences pour le site.
  3. Sélectionnez Ajouter une licence de site.
  4. Saisissez le code.

Obtenir une clé API Palo Alto AutoFocus

  1. Connectez-vous au portail d'assistance client de Palo Alto.
  2. Accédez à Composants > Licences pour le site.
  3. Recherchez la licence Palo Alto AutoFocus.
  4. Cliquez sur Activer dans la colonne "Actions".
  5. Cliquez sur Clé API dans la colonne "Clé API".
  6. Copiez et enregistrez la clé API dans la barre supérieure.

Créer un flux personnalisé Palo Alto AutoFocus

  1. Connectez-vous à Palo Alto AutoFocus.
  2. Accédez à Flux.
  3. Sélectionnez un flux déjà créé. Si aucun flux n'est présent, créez-en un.
  4. Cliquez sur add Créer un flux.
  5. Indiquez un nom descriptif.
  6. Créez une requête.
  7. Sélectionnez la méthode Sortie et choisissez URL.
  8. Cliquez sur Enregistrer.
  9. Accédez aux détails du flux :
    • Copiez et enregistrez le flux <ID> à partir de l'URL. (Par exemple, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • Copiez et enregistrez le nom du flux.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Palo Alto Autofocus).
  5. Sélectionnez API tierce comme type de source.
  6. Sélectionnez PAN Autofocus comme type de journal.
  7. Cliquez sur Suivant.
  8. Spécifiez les valeurs des paramètres d'entrée suivants :
    • En-tête HTTP d'authentification : clé API utilisée pour l'authentification auprès de autofocus.paloaltonetworks.com au format apiKey:<value>. Remplacez <value> par la clé API AutoFocus copiée précédemment.
    • ID du flux : ID du flux personnalisé.
    • Nom du flux : nom personnalisé du flux.
  9. Cliquez sur Suivant.
  10. Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • En-tête HTTP d'authentification : clé API utilisée pour l'authentification auprès de autofocus.paloaltonetworks.com au format apiKey:<value>. Remplacez <value> par la clé API AutoFocus copiée précédemment.
  • ID du flux : ID du flux personnalisé.
  • Nom du flux : nom personnalisé du flux.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal Mappage UDM Logique
indicator.indicatorType indicator.indicatorType Directement mappé à partir du journal brut. Converti en majuscules.
indicator.indicatorValue event.ioc.domain_and_ports.domain Mappé si indicator.indicatorType est DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Mappé si indicator.indicatorType correspond à "IP(V4|V6|)(_ADDRESS|)". Converti au format d'adresse IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Mappé s'il est présent. Converti en chaîne.
tags.0.description event.ioc.description Mappé s'il est présent pour le premier tag (index 0). Défini sur PAN Autofocus IOC par l'analyseur. Définie sur HIGH par l'analyseur. Définissez la valeur sur TROJAN si le champ message contient Trojan, sinon définissez-la sur MALWARE.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.