收集 Palo Alto Networks IOC 記錄

總覽

這個剖析器會從 Palo Alto Networks Autofocus JSON 記錄中擷取 IOC 資料，並將欄位對應至 UDM。這項服務會處理網域、IPv4 和 IPv6 指標，優先處理網域，並將 IP 位址轉換為適當格式。系統會捨棄不支援的指標類型，並將分類預設為 MALWARE，除非訊息中明確指出 Trojan。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體。
• Palo Alto AutoFocus 的特殊存取權。

設定 Palo Alto AutoFocus 授權

1. 登入 Palo Alto 客戶支援入口網站。
2. 依序前往「資產」「網站授權」。
3. 選取「新增網站授權」。
4. 輸入驗證碼。

取得 Palo Alto AutoFocus API 金鑰

1. 登入 Palo Alto 客戶支援入口網站。
2. 依序前往「資產」「網站授權」。
3. 找出 Palo Alto AutoFocus 授權。
4. 按一下「動作」欄中的「啟用」。
5. 按一下「API 金鑰」欄中的「API 金鑰」。
6. 從頂端列複製並儲存 API 金鑰。

建立 Palo Alto AutoFocus 自訂動態饋給

1. 登入 Palo Alto AutoFocus。
2. 前往「動態饋給」。
3. 選取已建立的動態饋給。如果沒有動態饋給，請建立一個。
4. 按一下「新增」 建立動態消息。
5. 提供描述性名稱。
6. 建立查詢。
7. 選取「輸出」方法為「網址」。
8. 按一下 [儲存]。
9. 存取動態消息詳細資料：
   • 複製並儲存網址中的動態饋給 <ID>。(例如 https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
   • 複製並儲存動態饋給名稱。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

• 「SIEM 設定」>「動態消息」
• 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」，設定動態饋給

如要設定動態消息，請按照下列步驟操作：

1. 依序前往「SIEM 設定」>「動態消息」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。
4. 在「動態饋給名稱」欄位中輸入動態饋給的名稱，例如「Palo Alto Autofocus Logs」。
5. 選取「第三方 API」做為「來源類型」。
6. 選取「PAN Autofocus」做為「記錄類型」。
7. 點選「下一步」。
8. 指定下列輸入參數的值：
   • 驗證 HTTP 標頭：用於向 autofocus.paloaltonetworks.com 驗證的 API 金鑰，格式為 apiKey:<value>。將 <value> 替換為先前複製的 AutoFocus API 金鑰。
   • 動態饋給 ID：自訂動態饋給 ID。
   • 動態饋給名稱：自訂動態饋給名稱。
9. 點選「下一步」。
10. 在「Finalize」畫面中檢查動態饋給設定，然後按一下「Submit」。

從內容中心設定動態饋給

為下列欄位指定值：

• 驗證 HTTP 標頭：用於向 autofocus.paloaltonetworks.com 驗證的 API 金鑰，格式為 apiKey:<value>。將 <value> 替換為先前複製的 AutoFocus API 金鑰。
• 動態饋給 ID：自訂動態饋給 ID。
• 動態饋給名稱：自訂動態饋給名稱。

進階選項

• 動態饋給名稱：系統預先填入的值，用於識別動態饋給。
• 來源類型：將記錄收集到 Google SecOps 的方法。
• 資產命名空間：與動態饋給相關聯的命名空間。
• 擷取標籤：套用至這個動態饋給所有事件的標籤。

UDM 對應表

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。