Palo Alto AutoFocus
Versione integrazione: 9.0
Configurare Palo Alto AutoFocus per l'utilizzo con Google Security Operations
Credenziali
Per ottenere la tua chiave API personale, accedi al tuo account Palo Alto AutoFocus.
Compila i campi obbligatori e il codice di autorizzazione, quindi seleziona Invia.
Seleziona l'azione Attiva in Licenze sito, poi seleziona il link Chiave API. Copia la chiave API negli appunti, che verrà utilizzata in un secondo momento in questa configurazione di integrazione con Google SecOps.
Rete
| Funzione | Porta predefinita | Direzione | Protocollo |
|---|---|---|---|
| API | Multivalori | In uscita | apikey |
Configura l'integrazione di Palo Alto AutoFocus in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Dominio di caccia
Descrizione
Cerca un dominio e recupera un elenco di tag associati.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette (True) se superano il limite. Altrimenti, False.
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| AutoFocus_Status | lo stato della scansione. 0 - in esecuzione, 1 - completato |
| AutoFocus_Percentage | Se la scansione è completata, l'elenco dei risultati; in caso contrario, la percentuale della scansione. |
| AutoFocus_Cookie | Cookie di Hunt (per recuperare informazioni su una scansione in esecuzione). |
| visibile | Restituisce il valore se esiste nel risultato JSON. |
| id | Restituisce il valore se esiste nel risultato JSON. |
| origine | Restituisce il valore se esiste nel risultato JSON. |
Approfondimenti
| Gravità | Descrizione |
|---|---|
| Avviso | Verrà creato un approfondimento di avviso per informare sullo stato dannoso dell'entità arricchita. L'approfondimento verrà creato quando il numero di motori rilevati è uguale o superiore al limite impostato prima della scansione. |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[{
"EntityResult": [{
"visible": true,
"_id": "8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"_source": {
"malware": 1,
"sha1": "d2884e3655ce4ba167f0083054d2a9ed02669241",
"create_date": "2019-09-20T01:57:15",
"finish_date": "2019-09-20T02:03:48",
"imphash": "ca6f8d49909b618c106e9274d41caec8",
"filetype": "DLL64",
"ispublic": 1,
"tag": [],
"tag_groups": [],
"tasks": [{
"metadata_compilation_ts": "2019-09-20T07:31:06"
}],
"ssdeep": "3072:656zgKIvACBkQTQzhH6ejYF9aIRQkfGRLe0oaf:JtIvNTKhakYF9lRQKPaf",
"sha256":
"8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"region": ["us"],
"md5": "0e1e960c1de792f71b70eb8c8ab47a00",
"size": 131072
}}],
"Entity": "example.com"
}]
File di caccia
Descrizione
Cerca un file e recupera un elenco di tag associati.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Filehash
- Nome del file
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette (True) se superano il limite. Altrimenti, False.
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| AutoFocus_Status | lo stato della scansione. 0 - in esecuzione, 1 - completato |
| AutoFocus_Percentage | Se la scansione è completata, l'elenco dei risultati; in caso contrario, la percentuale della scansione. |
| AutoFocus_Cookie | Cookie di Hunt (per recuperare informazioni su una scansione in esecuzione). |
| visibile | Restituisce il valore se esiste nel risultato JSON. |
| id | Restituisce il valore se esiste nel risultato JSON. |
| origine | Restituisce il valore se esiste nel risultato JSON. |
Approfondimenti
| Gravità | Descrizione |
|---|---|
| Avviso | Verrà creato un approfondimento di avviso per informare sullo stato dannoso dell'entità arricchita. L'approfondimento verrà creato quando il numero di motori rilevati è uguale o superiore al limite impostato prima della scansione. |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "81bb895a833594013bc74b429fb1f24f9ec9df26"
}]
Hunt IP
Descrizione
Cerca un indirizzo IP e recupera un elenco di tag associati.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette (True) se superano il limite. Altrimenti, False.
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| AutoFocus_Status | lo stato della scansione. 0 - in esecuzione, 1 - completato |
| AutoFocus_Percentage | Se la scansione è completata, l'elenco dei risultati; in caso contrario, la percentuale della scansione |
| AutoFocus_Cookie | Cookie di Hunt (per recuperare informazioni su una scansione in esecuzione). |
| visibile | Restituisce il valore se esiste nel risultato JSON. |
| id | Restituisce il valore se esiste nel risultato JSON. |
| origine | Restituisce il valore se esiste nel risultato JSON. |
Approfondimenti
| Gravità | Descrizione |
|---|---|
| Avviso | Verrà creato un approfondimento di avviso per informare sullo stato dannoso dell'entità arricchita. L'approfondimento verrà creato quando il numero di motori rilevati è uguale o superiore al limite impostato prima della scansione. |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "95.179.168.51"
}]
URL di caccia
Descrizione
Cerca un URL e recupera un elenco di tag associati.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità URL.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette (True) se superano il limite. Altrimenti, False.
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| AutoFocus_Status | lo stato della scansione. 0 - in esecuzione, 1 - completato |
| AutoFocus_Percentage | Se la scansione è completata, l'elenco dei risultati; in caso contrario, la percentuale della scansione. |
| AutoFocus_Cookie | Cookie di Hunt (per recuperare informazioni su una scansione in esecuzione). |
| visibile | Restituisce il valore se esiste nel risultato JSON. |
| id | Restituisce il valore se esiste nel risultato JSON. |
| origine | Restituisce il valore se esiste nel risultato JSON. |
Approfondimenti
| Gravità | Descrizione |
|---|---|
| Avviso | Verrà creato un approfondimento di avviso per informare sullo stato dannoso dell'entità arricchita. L'approfondimento verrà creato quando il numero di motori rilevati è uguale o superiore al limite impostato prima della scansione. |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "http://example.com"
}]
Dindin
Descrizione
Testa la connettività ad Autofocus.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
N/A
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.