Coletar registros de IOC da Palo Alto Networks

Compatível com:

Visão geral

Esse analisador extrai dados de IOC dos registros JSON do Palo Alto Networks Autofocus, mapeando campos para a UDM. Ele processa indicadores de domínio, IPv4 e IPv6, priorizando o domínio e convertendo endereços IP para o formato adequado. Ele descarta tipos de indicadores não compatíveis e define a categorização padrão como MALWARE, a menos que Trojan seja especificamente identificado na mensagem.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao AutoFocus da Palo Alto.

Configurar a licença do Palo Alto AutoFocus

  1. Faça login no portal de suporte ao cliente da Palo Alto.
  2. Acesse Ativos > Licenças do site.
  3. Selecione Adicionar licença de site.
  4. Digite o código.

Receber chave de API do Palo Alto AutoFocus

  1. Faça login no portal de suporte ao cliente da Palo Alto.
  2. Acesse Ativos > Licenças do site.
  3. Localize a licença do Palo Alto AutoFocus.
  4. Clique em Ativar na coluna "Ações".
  5. Clique em Chave de API na coluna "Chave de API".
  6. Copie e salve a chave de API na barra superior.

Criar um feed personalizado do Palo Alto AutoFocus

  1. Faça login no Palo Alto AutoFocus.
  2. Acesse Feeds.
  3. Selecione um feed já criado. Se não houver um feed, crie um.
  4. Clique em add Criar um feed.
  5. Dê um nome descritivo.
  6. Crie uma consulta.
  7. Selecione o método Saída como URL.
  8. Clique em Salvar.
  9. Acesse os detalhes do feed:
    • Copie e salve o feed <ID> do URL. Por exemplo, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2.
    • Copie e salve o nome do feed.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Palo Alto Autofocus.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione PAN Autofocus como o Tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação: chave de API usada para autenticar em autofocus.paloaltonetworks.com no formato apiKey:<value>. Substitua <value> pela chave de API do AutoFocus copiada anteriormente.
    • ID do feed: ID personalizado do feed.
    • Nome do feed: nome personalizado do feed.
  9. Clique em Próxima.
  10. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Cabeçalho HTTP de autenticação: chave de API usada para autenticar em autofocus.paloaltonetworks.com no formato apiKey:<value>. Substitua <value> pela chave de API do AutoFocus copiada anteriormente.
  • ID do feed: ID personalizado do feed.
  • Nome do feed: nome personalizado do feed.

Opções avançadas

  • Nome do feed:um valor pré-preenchido que identifica o feed.
  • Tipo de origem:método usado para coletar registros no Google SecOps.
  • Namespace do recurso:namespace associado ao feed.
  • Rótulos de ingestão:rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
indicator.indicatorType indicator.indicatorType Mapeado diretamente do registro bruto. Convertido para maiúsculas.
indicator.indicatorValue event.ioc.domain_and_ports.domain Mapeado se indicator.indicatorType for DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Mapeado se indicator.indicatorType corresponder a "IP(V4|V6|)(_ADDRESS|)". Convertido para o formato de endereço IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Mapeado se presente. Convertido em string.
tags.0.description event.ioc.description Mapeado se estiver presente para a primeira tag (índice 0). Definido como PAN Autofocus IOC pelo analisador. Definido como HIGH pelo analisador. Definido como TROJAN se o campo message contiver Trojan. Caso contrário, será definido como MALWARE.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.