Recolha registos de IOC da Palo Alto Networks

Compatível com:

Vista geral

Este analisador extrai dados de IOC dos registos JSON do Palo Alto Networks Autofocus, mapeando os campos para o UDM. Processa indicadores de domínios, IPv4 e IPv6, dando prioridade ao domínio e convertendo endereços IP para o formato adequado. Elimina os tipos de indicadores não suportados e define a categorização predefinida como MALWARE, a menos que Trojan seja especificamente identificado na mensagem.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao Palo Alto AutoFocus.

Configure a licença do Palo Alto AutoFocus

  1. Inicie sessão no portal de apoio técnico da Palo Alto.
  2. Aceda a Recursos > Licenças de sites.
  3. Selecione Adicionar licença de site.
  4. Introduza o código.

Obtenha a chave da API AutoFocus da Palo Alto

  1. Inicie sessão no portal de apoio técnico da Palo Alto.
  2. Aceda a Recursos > Licenças de sites.
  3. Localize a licença do Palo Alto AutoFocus.
  4. Clique em Ativar na coluna Ações.
  5. Clique em Chave da API na coluna Chave da API.
  6. Copie e guarde a chave da API na barra superior.

Crie um feed personalizado do Palo Alto AutoFocus

  1. Inicie sessão no Palo Alto AutoFocus.
  2. Aceda a Feeds.
  3. Selecione um feed já criado. Se não existir nenhum feed, avance para a criação de um.
  4. Clique em adicionar Criar um feed.
  5. Atribua um nome descritivo.
  6. Crie uma consulta.
  7. Selecione o método de saída como URL.
  8. Clique em Guardar.
  9. Aceda aos detalhes do feed:
    • Copie e guarde o feed <ID> a partir do URL. (Por exemplo, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • Copie e guarde o nome do feed.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos de foco automático de Palo Alto.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione PAN Autofocus como o Tipo de registo.
  7. Clicar em Seguinte.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação: chave da API usada para autenticar em autofocus.paloaltonetworks.com no formato apiKey:<value>. Substitua <value> pela chave da API AutoFocus copiada anteriormente.
    • ID do feed: ID do feed personalizado.
    • Nome do feed: nome do feed personalizado.
  9. Clicar em Seguinte.
  10. Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
indicator.indicatorType indicator.indicatorType Mapeado diretamente a partir do registo não processado. Convertido em maiúsculas.
indicator.indicatorValue event.ioc.domain_and_ports.domain Mapeado se indicator.indicatorType for DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Mapeado se indicator.indicatorType corresponder a "IP(V4|V6|)(_ADDRESS|)". Convertido para o formato de endereço IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Mapeado se estiver presente. Convertido em string.
tags.0.description event.ioc.description Mapeado se estiver presente para a primeira etiqueta (índice 0). Definido como PAN Autofocus IOC pelo analisador. Definido como ALTO pelo analisador. Definido como TROJAN se o campo message contiver Trojan. Caso contrário, é definido como MALWARE.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.