Raccogliere i log IOC di Palo Alto Networks

Supportato in:

Panoramica

Questo parser estrae i dati IOC dai log JSON di Palo Alto Networks Autofocus, mappando i campi a UDM. Gestisce gli indicatori di dominio, IPv4 e IPv6, dando la priorità al dominio e convertendo gli indirizzi IP nel formato appropriato. Elimina i tipi di indicatori non supportati e imposta la classificazione predefinita su MALWARE, a meno che nel messaggio non venga identificato specificamente Trojan.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso con privilegi a Palo Alto AutoFocus.

Configurare la licenza Palo Alto AutoFocus

  1. Accedi al portale di assistenza clienti di Palo Alto.
  2. Vai ad Asset > Licenze del sito.
  3. Seleziona Aggiungi licenza del sito.
  4. Inserisci il codice.

Ottenere la chiave API Palo Alto AutoFocus

  1. Accedi al portale di assistenza clienti di Palo Alto.
  2. Vai ad Asset > Licenze del sito.
  3. Individua la licenza Palo Alto AutoFocus.
  4. Fai clic su Attiva nella colonna Azioni.
  5. Fai clic su Chiave API nella colonna Chiave API.
  6. Copia e salva la chiave API dalla barra in alto.

Crea un feed personalizzato di Palo Alto AutoFocus

  1. Accedi a Palo Alto AutoFocus.
  2. Vai a Feed.
  3. Seleziona un feed già creato. Se non è presente alcun feed, procedi a crearne uno.
  4. Fai clic su Aggiungi Crea un feed.
  5. Fornisci un nome descrittivo.
  6. Crea una query.
  7. Seleziona il metodo Output come URL.
  8. Fai clic su Salva.
  9. Accedi ai dettagli del feed:
    • Copia e salva il feed <ID> dall'URL. Ad esempio, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2.
    • Copia e Salva il nome del feed.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di Palo Alto Autofocus.
  5. Seleziona API di terze parti come Tipo di origine.
  6. Seleziona PAN Autofocus come Tipo di log.
  7. Fai clic su Avanti.
  8. Specifica i valori per i seguenti parametri di input:
    • Intestazione HTTP di autenticazione: chiave API utilizzata per l'autenticazione su autofocus.paloaltonetworks.com nel formato apiKey:<value>. Sostituisci <value> con la chiave API AutoFocus copiata in precedenza.
    • ID feed: ID feed personalizzato.
    • Nome del feed: nome del feed personalizzato.
  9. Fai clic su Avanti.
  10. Controlla la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • Intestazione HTTP di autenticazione: chiave API utilizzata per l'autenticazione su autofocus.paloaltonetworks.com nel formato apiKey:<value>. Sostituisci <value> con la chiave API AutoFocus copiata in precedenza.
  • ID feed: ID feed personalizzato.
  • Nome del feed: nome del feed personalizzato.

Opzioni avanzate

  • Nome feed:un valore precompilato che identifica il feed.
  • Tipo di origine:metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset:lo spazio dei nomi associato al feed.
  • Etichette di importazione:etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
indicator.indicatorType indicator.indicatorType Mappato direttamente dal log non elaborato. Convertito in maiuscolo.
indicator.indicatorValue event.ioc.domain_and_ports.domain Mappato se indicator.indicatorType è DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Mappato se indicator.indicatorType corrisponde a "IP(V4|V6|)(_ADDRESS|)". Convertito nel formato dell'indirizzo IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Mappato se presente. Convertito in stringa.
tags.0.description event.ioc.description Mappato se presente per il primo tag (indice 0). Impostato su PAN Autofocus IOC dal parser. Impostato su HIGH dal parser. Imposta il valore su TROJAN se il campo message contiene Trojan, altrimenti impostalo su MALWARE.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.