Palo Alto Networks IOC のログを収集する

以下でサポートされています。

概要

このパーサーは、Palo Alto Networks Autofocus JSON ログから IOC データを抽出し、フィールドを UDM にマッピングします。ドメイン、IPv4、IPv6 のインジケーターを処理し、ドメインを優先して IP アドレスを適切な形式に変換します。サポートされていないインジケーター タイプは削除され、メッセージで Trojan が明示的に特定されていない限り、デフォルトのカテゴリは MALWARE になります。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス。
  • Palo Alto AutoFocus への特権アクセス。

Palo Alto AutoFocus ライセンスを構成する

  1. Palo Alto カスタマー サポート ポータルにログインします。
  2. [Assets] > [Site Licenses] に移動します。
  3. [Add Site License] を選択します。
  4. コードの入力します。

Palo Alto AutoFocus API キーを取得する

  1. Palo Alto カスタマー サポート ポータルにログインします。
  2. [Assets] > [Site Licenses] に移動します。
  3. Palo Alto AutoFocus ライセンスを見つけます。
  4. [Actions] 列の [Enable] をクリックします。
  5. [API Key] 列の [API Key] をクリックします。
  6. 上部のバーから API キーをコピーして保存します。

Palo Alto AutoFocus のカスタム フィードを作成する

  1. Palo Alto AutoFocus にログインします。
  2. [Feeds] に移動します。
  3. 作成済みのフィードを選択します。フィードがない場合は、作成に進みます。
  4. add [Create A Feed] をクリックします。
  5. わかりやすい名前を指定します。
  6. クエリを作成します。
  7. [Output] 方法として [URL] を選択します。
  8. [Save] をクリックします。
  9. フィードの詳細にアクセスします。
    • URL からフィード <ID>コピーして保存します(例: https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)。
    • フィード名をコピーして保存します。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Palo Alto Autofocus Logs)。
  5. [ソースタイプ] として [サードパーティ API] を選択します。
  6. [Log type] として [PAN Autofocus] を選択します。
  7. [次へ] をクリックします。
  8. 次の入力パラメータの値を指定します。
    • Authentication HTTP header: autofocus.paloaltonetworks.com の認証に使用される API キー(apiKey:<value> 形式)。<value> は、先ほどコピーした AutoFocus API キーに置き換えます。
    • Feed ID: カスタム フィード ID。
    • Feed Name: カスタム フィードの名前。
  9. [次へ] をクリックします。
  10. [Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • Authentication HTTP header: autofocus.paloaltonetworks.com の認証に使用される API キー(apiKey:<value> 形式)。<value> は、先ほどコピーした AutoFocus API キーに置き換えます。
  • Feed ID: カスタム フィード ID。
  • Feed Name: カスタム フィードの名前。

詳細オプション

  • フィード名: フィードを識別する値が事前入力されています。
  • ソースタイプ: ログを Google SecOps に収集するために使用される方法。
  • アセット Namespace: フィードに関連付けられた Namespace。
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
indicator.indicatorType indicator.indicatorType 未加工ログから直接マッピングされます。大文字に変換されました。
indicator.indicatorValue event.ioc.domain_and_ports.domain indicator.indicatorTypeDOMAIN の場合にマッピングされます。
indicator.indicatorValue event.ioc.ip_and_ports.ip_address indicator.indicatorType が「IP(V4|V6|)(_ADDRESS|)」と一致する場合にマッピングされます。IP アドレス形式に変換されます。
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity 存在する場合はマッピングされます。文字列に変換されます。
tags.0.description event.ioc.description 最初のタグ(インデックス 0)に存在する場合はマッピングされます。パーサーによって PAN Autofocus IOC に設定されます。パーサーによって HIGH に設定されます。message フィールドに Trojan が含まれている場合は TROJAN に設定し、それ以外の場合は MALWARE に設定します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。