收集 Palo Alto Networks IOC 日志

概览

此解析器从 Palo Alto Networks Autofocus JSON 日志中提取 IOC 数据，并将字段映射到 UDM。它会处理网域、IPv4 和 IPv6 指标，优先处理网域，并将 IP 地址转换为适当的格式。它会舍弃不受支持的指示器类型，并将分类默认为 MALWARE，除非消息中明确标识了 Trojan。

准备工作

确保您满足以下前提条件：

• Google SecOps 实例。
• 对 Palo Alto AutoFocus 的特权访问权限。

配置 Palo Alto AutoFocus 许可

1. 登录 Palo Alto 客户支持门户。
2. 依次前往资产 > 网站许可。
3. 选择添加网站许可。
4. 输入验证码。

获取 Palo Alto AutoFocus API 密钥

1. 登录 Palo Alto 客户支持门户。
2. 依次前往资产 > 网站许可。
3. 找到 Palo Alto AutoFocus 许可。
4. 点击“操作”列中的启用。
5. 点击“API 密钥”列中的 API 密钥。
6. 复制并保存顶部栏中的 API 密钥。

创建 Palo Alto AutoFocus 自定义 Feed

1. 登录 Palo Alto AutoFocus。
2. 前往信息流。
3. 选择已创建的 Feed。如果没有 Feed，请继续创建 Feed。
4. 点击 添加 创建 Feed。
5. 提供描述性名称。
6. 创建查询。
7. 选择 Output 方法作为 网址。
8. 点击保存。
9. 访问 Feed 详细信息：
   • 复制并保存网址中的 Feed <ID>。（例如，https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2）
   • 复制并保存 Feed 名称。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

• SIEM 设置 > Feed
• 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed，请按以下步骤操作：

1. 依次前往 SIEM 设置 > Feed。
2. 点击添加新 Feed。
3. 在下一页上，点击配置单个 Feed。
4. 在 Feed name 字段中，输入 Feed 的名称，例如 Palo Alto Autofocus Logs。
5. 选择第三方 API 作为来源类型。
6. 选择 PAN 自动对焦作为日志类型。
7. 点击下一步。
8. 为以下输入参数指定值：
   • 身份验证 HTTP 标头：用于向 autofocus.paloaltonetworks.com 进行身份验证的 API 密钥，采用 apiKey:<value> 格式。将 <value> 替换为您之前复制的 AutoFocus API 密钥。
   • Feed ID：自定义 Feed ID。
   • Feed 名称：自定义 Feed 名称。
9. 点击下一步。
10. 在最终确定界面中检查 Feed 配置，然后点击提交。

设置来自内容中心的 Feed

为以下字段指定值：

• 身份验证 HTTP 标头：用于向 autofocus.paloaltonetworks.com 进行身份验证的 API 密钥，采用 apiKey:<value> 格式。将 <value> 替换为您之前复制的 AutoFocus API 密钥。
• Feed ID：自定义 Feed ID。
• Feed 名称：自定义 Feed 名称。

高级选项

• Feed 名称：用于标识 Feed 的预填充值。
• 来源类型：用于将日志收集到 Google SecOps 中的方法。
• 资源命名空间：与 Feed 关联的命名空间。
• 提取标签：应用于相应 Feed 中所有事件的标签。

UDM 映射表

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。