Mengumpulkan log IOC Palo Alto Networks

Didukung di:

Ringkasan

Parser ini mengekstrak data IOC dari log JSON Autofocus Palo Alto Networks, memetakan kolom ke UDM. Fitur ini menangani indikator domain, IPv4, dan IPv6, memprioritaskan domain, dan mengonversi alamat IP ke format yang sesuai. Fitur ini akan menghapus jenis indikator yang tidak didukung dan menetapkan kategorisasi default ke MALWARE kecuali jika Trojan secara khusus diidentifikasi dalam pesan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps.
  • Akses istimewa ke Palo Alto AutoFocus.

Mengonfigurasi lisensi Palo Alto AutoFocus

  1. Login ke Customer Support Portal Palo Alto.
  2. Buka Aset > Lisensi Situs.
  3. Pilih Tambahkan Lisensi Situs.
  4. Masukkan kode.

Mendapatkan Kunci API Palo Alto AutoFocus

  1. Login ke Customer Support Portal Palo Alto.
  2. Buka Aset > Lisensi Situs.
  3. Temukan lisensi Palo Alto AutoFocus.
  4. Klik Aktifkan di kolom Tindakan.
  5. Klik API Key di kolom API Key.
  6. Salin dan Simpan Kunci API dari panel atas.

Membuat Feed kustom Palo Alto AutoFocus

  1. Login ke Palo Alto AutoFocus.
  2. Buka Feed.
  3. Pilih feed yang sudah dibuat. Jika tidak ada feed, lanjutkan untuk membuatnya.
  4. Klik add Buat Feed.
  5. Berikan nama deskriptif.
  6. Buat kueri.
  7. Pilih metode Output sebagai URL.
  8. Klik Simpan.
  9. Akses detail feed:
    • Salin dan Simpan feed <ID> dari URL. (Misalnya, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • Salin dan Simpan nama feed.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, Palo Alto Autofocus Logs.
  5. Pilih Third party API sebagai Source type.
  6. Pilih PAN Autofocus sebagai Log type.
  7. Klik Berikutnya.
  8. Tentukan nilai untuk parameter input berikut:
    • Header HTTP autentikasi: Kunci API yang digunakan untuk mengautentikasi ke autofocus.paloaltonetworks.com dalam format apiKey:<value>. Ganti <value> dengan Kunci API AutoFocus yang disalin sebelumnya.
    • ID feed: ID feed kustom.
    • Nama Feed: Nama feed kustom.
  9. Klik Berikutnya.
  10. Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
indicator.indicatorType indicator.indicatorType Dipetakan langsung dari log mentah. Dikonversi menjadi huruf besar.
indicator.indicatorValue event.ioc.domain_and_ports.domain Dipetakan jika indicator.indicatorType adalah DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Dipetakan jika indicator.indicatorType cocok dengan "IP(V4|V6|)(_ADDRESS|)". Dikonversi ke format alamat IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Dipetakan jika ada. Dikonversi ke string.
tags.0.description event.ioc.description Dipetakan jika ada untuk tag pertama (indeks 0). Ditetapkan ke PAN Autofocus IOC oleh parser. Ditetapkan ke HIGH oleh parser. Disetel ke TROJAN jika kolom message berisi Trojan, atau disetel ke MALWARE.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.