收集 Palo Alto Networks IOC 日志

支持的语言:

概览

此解析器从 Palo Alto Networks Autofocus JSON 日志中提取 IOC 数据,并将字段映射到 UDM。它会处理网域、IPv4 和 IPv6 指标,优先处理网域,并将 IP 地址转换为适当的格式。它会舍弃不受支持的指示器类型,并将分类默认为 MALWARE,除非消息中明确标识了 Trojan

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例。
  • 对 Palo Alto AutoFocus 的特权访问权限。

配置 Palo Alto AutoFocus 许可

  1. 登录 Palo Alto 客户支持门户
  2. 依次前往资产 > 网站许可
  3. 选择添加网站许可
  4. 输入验证码。

获取 Palo Alto AutoFocus API 密钥

  1. 登录 Palo Alto 客户支持门户
  2. 依次前往资产 > 网站许可
  3. 找到 Palo Alto AutoFocus 许可。
  4. 点击“操作”列中的启用
  5. 点击“API 密钥”列中的 API 密钥
  6. 复制保存顶部栏中的 API 密钥。

创建 Palo Alto AutoFocus 自定义 Feed

  1. 登录 Palo Alto AutoFocus。
  2. 前往信息流
  3. 选择已创建的 Feed。如果没有 Feed,请继续创建。
  4. 点击 添加 创建 Feed
  5. 提供描述性名称。
  6. 创建查询
  7. 选择 Output 方法作为 网址
  8. 点击保存
  9. 访问 Feed 详细信息:
    • 复制保存网址中的 Feed <ID>。(例如,https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2
    • 复制保存 Feed 名称。

设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed name 字段中,输入 Feed 的名称,例如 Palo Alto Autofocus Logs
  5. 选择第三方 API 作为来源类型
  6. 选择 PAN 自动对焦作为日志类型
  7. 点击下一步
  8. 为以下输入参数指定值:
    • 身份验证 HTTP 标头:用于向 autofocus.paloaltonetworks.com 进行身份验证的 API 密钥,采用 apiKey:<value> 格式。将 <value> 替换为您之前复制的 AutoFocus API 密钥。
    • Feed ID:自定义 Feed ID。
    • Feed 名称:自定义 Feed 名称。
  9. 点击下一步
  10. 最终确定界面中检查 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
indicator.indicatorType indicator.indicatorType 直接从原始日志映射。已转换为大写。
indicator.indicatorValue event.ioc.domain_and_ports.domain 如果 indicator.indicatorTypeDOMAIN,则进行映射。
indicator.indicatorValue event.ioc.ip_and_ports.ip_address 如果 indicator.indicatorType 与“IP(V4|V6|)(_ADDRESS|)”匹配,则进行映射。转换为 IP 地址格式。
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity 如果存在,则进行映射。已转换为字符串。
tags.0.description event.ioc.description 如果第一个标记(索引 0)存在,则进行映射。由解析器设置为 PAN 自动对焦 IOC。由解析器设置为 HIGH。如果 message 字段包含 Trojan,则设置为 TROJAN,否则设置为 MALWARE

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。