Palo Alto Panorama

Versión de integración: 29.0

Integra Palo Alto Panorama con Google Security Operations

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio. Descripción
Nombre de la instancia String N/A No Nombre de la instancia para la que deseas configurar la integración.
Descripción String N/A No Es la descripción de la instancia.
Raíz de la API String https://IP_ADDRESS/api Dirección de la instancia de Panorama de Palo Alto Networks.
Nombre de usuario String N/A Es un nombre de usuario que se debe usar para conectarse a Palo Alto Networks Panorama.
Contraseña Contraseña N/A Contraseña del usuario correspondiente.
Ejecutar de forma remota Casilla de verificación Desmarcado No Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Algunas acciones pueden requerir configuración adicional, como permisos, nombre del dispositivo o nombre del grupo de dispositivos.

Permisos de acción

Para que las acciones se ejecuten correctamente, se requieren los siguientes permisos:

Tab Permisos necesarios
Configuración Read & Write

Permisos para recuperar o modificar la configuración de Panorama y del firewall
Solicitudes operacionales Read & Write

Permisos para ejecutar comandos operativos en Panorama y firewalls.
Confirmar Read & Write

Permisos para confirmar la configuración de Panorama y del firewall.

Obtén el nombre del dispositivo o del grupo de dispositivos

  • Para obtener el nombre del dispositivo, usa el siguiente vínculo:

    https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices

  • Para obtener el nombre del grupo de dispositivos, usa el siguiente vínculo:

    https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group

Agregar IPs al grupo

Agrega direcciones IP a un grupo de direcciones.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo String N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado para Panorama de Palo Alto Networks es localhost.localdomain.
Nombre del grupo de dispositivos String N/A Especifica el nombre del grupo de dispositivos.
Nombre del grupo de direcciones String N/A Especifica el nombre del grupo de direcciones.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si la operación se realiza correctamente y se agrega al menos una de las IPs proporcionadas (is_success = true):
print "Successfully added the following IPs to the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format (address_group, entity.identifier list)

Si no se pueden agregar IPs específicas (is_success = true):

print "Action was not able to add the following IPs to the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Si no se puede agregar para todas las IPs (is_success = false):

Impresión: "No se agregaron IPs al grupo de direcciones de Panorama de Palo Alto Networks "{0}".format(address_group)"

 General

Bloquea IPs en la política

Bloquea direcciones IP en una política determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo String N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado para Panorama de Palo Alto Networks es localhost.localdomain.
Nombre del grupo de dispositivos String N/A Especifica el nombre del grupo de dispositivos.
Nombre de la política String N/A Especifica el nombre de la política.
Objetivo String N/A Especifica cuál debería ser el objetivo. Los valores posibles son source y destination.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si la operación se realiza correctamente y se bloqueó al menos una de las IPs proporcionadas (is_success = true):
print "Se bloquearon correctamente las siguientes IPs en la política de Panorama de Palo Alto Networks ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Si no se pueden bloquear IPs específicas (is_success = true):

print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Si no se puede agregar para todas las IPs (is_success = false):

Impresión: "No se bloquearon IPs en la política "{0}" de Panorama de Palo Alto Networks".format(policy_name)

General

Bloquear URLs

Agrega URLs a una categoría de URL determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo String N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado para Panorama de Palo Alto Networks es localhost.localdomain.
Nombre del grupo de dispositivos String N/A Especifica el nombre del grupo de dispositivos.
Nombre de la categoría de URL String N/A Especifica el nombre de la categoría de URL.

Fecha de ejecución

Esta acción se ejecuta en la entidad de URL.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso

is_success:False
Resultado de JSON
[
    "www.example.com"
]
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si la operación se realizó correctamente y se agregó al menos una de las URLs proporcionadas (is_success = true):
print "Successfully added the following URLs to the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Si no se pueden agregar URLs específicas (is_success = true):

print "Action was not able to add the following URLs to the Palo Alto Networks Panorama URL Category''{0}':\n {1}". format(category, [entity.identifier])

Si no se pueden agregar todas las URLs (is_success = false):

Impresión: "No se agregaron URLs a la categoría de URL '{0}' de Panorama de Palo Alto Networks".format(category)

 General

Cómo editar las aplicaciones bloqueadas

Bloquear y desbloquear aplicaciones Cada aplicación se agrega a una política determinada o se quita de ella.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Aplicaciones para bloquear String N/A No Especifica qué tipo de aplicación se debe bloquear. Ejemplo: apple-siri,windows-azure
Aplicaciones para desbloquear String N/A No Especifica qué tipo de aplicación se debe desbloquear. Ejemplo: apple-siri,windows-azure
Nombre del dispositivo String N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado para Panorama de Palo Alto Networks es localhost.localdomain.
Nombre del grupo de dispositivos String N/A Especifica el nombre del grupo de dispositivos.
Nombre de la política String N/A Especifica el nombre de la política.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]

Obtener aplicaciones bloqueadas

Enumera todas las aplicaciones bloqueadas en una política determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo String N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado para Panorama de Palo Alto Networks es localhost.localdomain.
Nombre del grupo de dispositivos String N/A Especifica el nombre del grupo de dispositivos.
Nombre de la política String N/A Especifica el nombre de la política.

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
blocked_applications N/A N/A
Resultado de JSON
[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida* "Se enumeraron correctamente las aplicaciones bloqueadas en la política "{0}: {1}".format(Policy name, \n separated list of applications)" General

Ping

Prueba la conectividad con Panorama.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Confirmar cambios

La acción confirma los cambios en Palo Alto Networks Panorama.

Para usar el parámetro Only My Changes, el usuario debe ser administrador.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Solo mis cambios Casilla de verificación Desmarcado No Si se habilita, la acción solo confirmará los cambios que realizó el usuario actual.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Enviar cambios

Envía confirmaciones de un grupo de dispositivos en Panorama de Palo Alto Networks.

Es posible que los cambios tarden varios minutos en enviarse.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del grupo de dispositivos String N/A Especifica el nombre del grupo de dispositivos. Consulta la documentación de la acción de visita para obtener más información sobre dónde puedes encontrar este valor.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Quitar IPs del grupo

Quita direcciones IP de un grupo de direcciones.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo String N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado para Panorama de Palo Alto Networks es localhost.localdomain.
Nombre del grupo de dispositivos String N/A Especifica el nombre del grupo de dispositivos.
Nombre del grupo de direcciones String N/A Especifica el nombre del grupo de direcciones.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si la operación se realizó correctamente y se quitó al menos una de las IPs proporcionadas (is_success = true):
print "Successfully removed the following IPs from the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format(address_group, entity.identifier list)

Si no se pueden quitar IPs específicas (is_success = true):

print "Action was not able to remove the following IPs from the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Si no se puede quitar para todas las IPs (is_success = false):

Impresión: "No se quitaron IPs del grupo de direcciones '{0}' de Palo Alto Networks Panorama".format(address_group)

 General

Desbloquea IPs en la política

Bloquea direcciones IP en una política determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo String N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado para Panorama de Palo Alto Networks es localhost.localdomain.
Nombre del grupo de dispositivos String N/A Especifica el nombre del grupo de dispositivos.
Nombre de la política String N/A Especifica el nombre de la política.
Objetivo String N/A Especifica cuál debería ser el objetivo. Los valores posibles son source y destination.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si la operación se realiza correctamente y se desbloquea al menos una de las IPs proporcionadas (is_success = true):
print "Successfully unblocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Si no se pueden bloquear IPs específicas (is_success = true):

print "Action was not able to unblock the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Si no se puede agregar para todas las IPs (is_success = false):

Impresión: "No se desbloqueó ninguna IP en la política "{0}" de Palo Alto Networks Panorama".format(policy_name)

General

Cómo desbloquear URLs

Quita URLs de una categoría de URL determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo String N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado para Panorama de Palo Alto Networks es localhost.localdomain.
Nombre del grupo de dispositivos String N/A Especifica el nombre del grupo de dispositivos.
Nombre de la categoría de URL String N/A Especifica el nombre de la categoría de URL.

Fecha de ejecución

Esta acción se ejecuta en la entidad de URL.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso

is_success:False
Resultado de JSON
[
    "www.example.com"
]
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

if successful and at least one of the provided URLs was removed (is_success = true):
print "Successfully removed the following URLs from the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Si no se pueden agregar URLs específicas (is_success = true):

print "Action was not able to remove the following URLs from the Palo Alto Networks Panorama URL Category''{0}':\n {1}".format(category, [entity.identifier])

Si no se puede agregar para todas las URLs (is_success = false):

Impresión: "No se quitaron URLs de la categoría de URL "{0}" de Panorama de Palo Alto Networks".format(category)

 General

Registros de búsqueda

Busca registros en Palo Alto Networks Panorama según la búsqueda.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio. Descripción
Tipo de registro DDL Tráfico

Especifica qué tipo de registro se debe devolver.

Valores posibles: Tráfico, Amenaza, Filtrado de URL, Envíos de WildFire, Filtrado de datos, Coincidencia de HIP, Etiqueta de IP, ID de usuario, Inspección de túnel, Configuración, Sistema, Autenticación.
Consulta String N/A No Especifica qué filtro de consulta se debe usar para devolver registros.
Horas máximas hacia atrás Número entero N/A No Especifica la cantidad de horas desde las que se recuperarán los registros.
Cantidad máxima de registros que se devolverán Número entero 50 No Especifica la cantidad de registros que se devolverán. La cantidad máxima es 1,000.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
  <logs count="1" progress="100">
                <entry logid="28889">
                    <domain>0</domain>
                    <receive_time>2020/07/06 13:51:19</receive_time>
                    <serial>007051000096801</serial>
                    <seqno>21467</seqno>
                    <actionflags>0x0</actionflags>
                    <is-logging-service>no</is-logging-service>
                    <type>THREAT</type>
                    <subtype>spyware</subtype>
                    <config_ver>0</config_ver>
                    <time_generated>2020/07/06 13:51:10</time_generated>
                    <src>192.0.2.1</src>
                    <dst>203.0.113.254</dst>
                    <natsrc>198.51.100.4</natsrc>
                    <natdst>203.0.113.254</natdst>
                    <rule>inside to outside</rule>
                    <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                    <dstloc code="United States" cc="US">United States</dstloc>
                    <app>ms-update</app>
                    <vsys>vsys1</vsys>
                    <from>inside</from>
                    <to>Outside</to>
                    <inbound_if>ethernet1/2</inbound_if>
                    <outbound_if>ethernet1/1</outbound_if>
                    <logset>log forward1</logset>
                    <time_received>2020/07/06 13:51:10</time_received>
                    <sessionid>2348</sessionid>
                    <repeatcnt>1</repeatcnt>
                    <sport>56761</sport>
                    <dport>80</dport>
                    <natsport>45818</natsport>
                    <natdport>80</natdport>
                    <flags>0x80403000</flags>
                    <flag-pcap>yes</flag-pcap>
                    <flag-flagged>no</flag-flagged>
                    <flag-proxy>no</flag-proxy>
                    <flag-url-denied>no</flag-url-denied>
                    <flag-nat>yes</flag-nat>
                    <captive-portal>no</captive-portal>
                    <non-std-dport>no</non-std-dport>
                    <transaction>no</transaction>
                    <pbf-c2s>no</pbf-c2s>
                    <pbf-s2c>no</pbf-s2c>
                    <temporary-match>yes</temporary-match>
                    <sym-return>no</sym-return>
                    <decrypt-mirror>no</decrypt-mirror>
                    <credential-detected>no</credential-detected>
                    <flag-mptcp-set>no</flag-mptcp-set>
                    <flag-tunnel-inspected>no</flag-tunnel-inspected>
                    <flag-recon-excluded>no</flag-recon-excluded>
                    <flag-wf-channel>no</flag-wf-channel>
                    <pktlog>1594032670-2348.pcap</pktlog>
                    <proto>tcp</proto>
                    <action>alert</action>
                    <tunnel>N/A</tunnel>
                    <tpadding>0</tpadding>
                    <cpadding>0</cpadding>
                    <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                    <dg_hier_level_1>11</dg_hier_level_1>
                    <dg_hier_level_2>0</dg_hier_level_2>
                    <dg_hier_level_3>0</dg_hier_level_3>
                    <dg_hier_level_4>0</dg_hier_level_4>
                    <device_name>PA-VM</device_name>
                    <vsys_id>1</vsys_id>
                    <tunnelid_imsi>0</tunnelid_imsi>
                    <parent_session_id>0</parent_session_id>
                    <threatid>Suspicious HTTP Evasion Found</threatid>
                    <tid>14984</tid>
                    <reportid>0</reportid>
                    <category>computer-and-internet-info</category>
                    <severity>informational</severity>
                    <direction>client-to-server</direction>
                    <url_idx>1</url_idx>
                    <padding>0</padding>
                    <pcap_id>1206408081198547007</pcap_id>
                    <contentver>AppThreat-0-0</contentver>
                    <sig_flags>0x0</sig_flags>
                    <thr_category>spyware</thr_category>
                    <assoc_id>0</assoc_id>
                    <ppid>4294967295</ppid>
                    <http2_connection>0</http2_connection>
                    <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                    <tunnelid>0</tunnelid>
                    <imsi/>
                    <monitortag/>
                    <imei/>
                </entry>
            </logs>
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realizó correctamente y se devolvió al menos un registro (is_success = true):
print "Se enumeraron correctamente {0} registros. Consulta utilizada: "{1}".format(log_type)

Si se ejecuta correctamente, pero no hay registros(is_success = false):
print "No se encontraron registros de {0}. Used query: '{1}' ".format(log_type, query)

Si la búsqueda es incorrecta (estado de la respuesta = error) (is_success=false):

print "No se pudo enumerar los registros. Motivo: {0}".format(response/msg)

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor, etc.,

print "Error executing action "Search Logs". Motivo: {0}''.format(error.Stacktrace)

 General
Muro de casos en formato CSV (tráfico)

Nombre: Registros de tráfico

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • IP de origen (se asigna como src)
  • IP de destino (se asigna como dst)
  • Acción (se asigna como acción)
  • Tipo (se asigna como subtipo)
  • Aplicación (se asigna como app)
Muro de casos en formato CSV (amenaza)

Nombre: Registros de amenazas

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • Descripción (se asigna como threatID)
  • IP de origen (se asigna como src)
  • IP de destino (se asigna como dst)
  • Nombre (se asigna como varios)
  • Tipo (se asigna como subtipo)
  • Gravedad (se asigna como gravedad)

Muro de casos en CSV

(Filtrado de URL)

Nombre: Registros de filtrado de URLs

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • IP de origen (se asigna como src)
  • IP de destino (se asigna como dst)
  • URL (se asigna como varios)
  • Categoría (se asigna como categoría)
  • Gravedad (se asigna como gravedad)
  • Acción (se asigna como acción)

Muro de casos en CSV

(Envío de incendios forestales)

Nombre: Registros de envío de incendios forestales

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • Descripción (se asigna como threatID)
  • IP de origen (se asigna como src)
  • IP de destino (se asigna como dst)
  • Nombre (se asigna como varios)
  • Tipo (se asigna como subtipo)
  • Gravedad (se asigna como gravedad)
  • Acción (se asigna como acción)
  • Hash (se asigna como filedigest)
  • Tipo de archivo (se asigna como filetype)

Muro de casos en CSV

(Filtrado de datos)

Nombre: Registros de filtrado de datos

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • Descripción (se asigna como threatID)
  • IP de origen (se asigna como src)
  • IP de destino (se asigna como dst)
  • Nombre (se asigna como varios)
  • Tipo (se asigna como subtipo)
  • Gravedad (se asigna como gravedad)
  • Acción (se asigna como acción)

Muro de casos en CSV

(HIP Match)

Nombre: Registros de coincidencias de HIP

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • IP (se asigna como src)
  • HIP (se asigna como matchname)
  • Recuento de repeticiones(se asigna como repeatcnt)
  • Nombre del dispositivo (se asigna como device_name)

Muro de casos en CSV

(Etiqueta de IP)

Nombre: Registros de etiquetas de IP

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • IP (se asigna como ip)
  • Nombre de la etiqueta (se asigna como tag_name)
  • Nombre del dispositivo (se asigna como device_name)
  • ID del evento (se asigna como event_id)

Muro de casos en CSV

(ID de usuario)

Nombre: Registros de coincidencias de ID de usuario

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • IP (se asigna como ip)
  • Usuario (se asigna como usuario)
  • Nombre del dispositivo (se asigna como device_name)
  • Tipo (se asigna como subtipo)

Muro de casos en CSV

(Inspección de túneles)

Nombre: Registros de inspección de túneles

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • IP de origen (se asigna como src)
  • IP de destino (se asigna como dst)
  • Aplicación (se asigna como app)
  • Tipo (se asigna como subtipo)
  • Gravedad (se asigna como gravedad)
  • Acción (se asigna como acción)

Muro de casos en CSV

(Configuración)

Nombre: Registros de configuración

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • Comando (se asigna como cmd)
  • Administrador (se asigna como administrador)
  • Nombre del dispositivo (asignado como device_name)

Muro de casos en CSV

(Sistema)

Nombre: Registros del sistema

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • Nombre del dispositivo (asignado como device_name)
  • Tipo (se asigna como subtipo)
  • Gravedad (se asigna como gravedad)
  • Descripción (se asigna como opaca)

Muro de casos en CSV

(Autenticación)

Nombre: Registros de autenticación

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • Nombre del dispositivo (se asigna como device_name)
  • IP (se asigna como ip)
  • Usuario (se asigna como usuario)
  • Tipo (se asigna como subtipo)
  • Gravedad (se asigna como gravedad)
  • Descripción (se asigna como desc)

Obtén el tráfico correlacionado entre IPs

La acción devuelve registros de tráfico de red correlacionados de Palo Alto Networks Panorama entre la dirección IP de origen y la dirección IP de destino.

Recomendaciones de guías

Para automatizar el proceso de recuperación del tráfico correlacionado entre dos IPs, usa el atributo Event.sourceAddress para la dirección IP de origen y Event.destinationAddress para la dirección IP de destino. Este enfoque se recomienda para las alertas que solo tienen un evento de Google SecOps. En otros casos, pueden ocurrir resultados inesperados.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio. Descripción
IP de origen CSV N/A Especifica la IP de origen que se usará para obtener tráfico.
IP de destino CSV N/A Especifica la IP de destino que se usará para obtener tráfico.
Horas máximas hacia atrás Número entero N/A No Especifica la cantidad de horas desde las que se recuperarán los registros.
Cantidad máxima de registros que se devolverán Número entero 50 No Especifica la cantidad de registros que se devolverán. La cantidad máxima es 1,000.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
     <logs count="1" progress="100">
                    <entry logid="28889">
                        <domain>0</domain>
                        <receive_time>2020/07/06 13:51:19</receive_time>
                        <serial>007051000096801</serial>
                        <seqno>21467</seqno>
                        <actionflags>0x0</actionflags>
                        <is-logging-service>no</is-logging-service>
                        <type>THREAT</type>
                        <subtype>spyware</subtype>
                        <config_ver>0</config_ver>
                        <time_generated>2020/07/06 13:51:10</time_generated>
                        <src>192.0.2.3</src>
                        <dst>198.51.100.254</dst>
                        <natsrc>203.0.113.4</natsrc>
                        <natdst>198.51.100.254</natdst>
                        <rule>inside to outside</rule>
                        <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                        <dstloc code="United States" cc="US">United States</dstloc>
                        <app>ms-update</app>
                        <vsys>vsys1</vsys>
                        <from>inside</from>
                        <to>Outside</to>
                        <inbound_if>ethernet1/2</inbound_if>
                        <outbound_if>ethernet1/1</outbound_if>
                        <logset>log forward1</logset>
                        <time_received>2020/07/06 13:51:10</time_received>
                        <sessionid>2348</sessionid>
                        <repeatcnt>1</repeatcnt>
                        <sport>56761</sport>
                        <dport>80</dport>
                        <natsport>45818</natsport>
                        <natdport>80</natdport>
                        <flags>0x80403000</flags>
                        <flag-pcap>yes</flag-pcap>
                        <flag-flagged>no</flag-flagged>
                        <flag-proxy>no</flag-proxy>
                        <flag-url-denied>no</flag-url-denied>
                        <flag-nat>yes</flag-nat>
                        <captive-portal>no</captive-portal>
                        <non-std-dport>no</non-std-dport>
                        <transaction>no</transaction>
                        <pbf-c2s>no</pbf-c2s>
                        <pbf-s2c>no</pbf-s2c>
                        <temporary-match>yes</temporary-match>
                        <sym-return>no</sym-return>
                        <decrypt-mirror>no</decrypt-mirror>
                        <credential-detected>no</credential-detected>
                        <flag-mptcp-set>no</flag-mptcp-set>
                        <flag-tunnel-inspected>no</flag-tunnel-inspected>
                        <flag-recon-excluded>no</flag-recon-excluded>
                        <flag-wf-channel>no</flag-wf-channel>
                        <pktlog>1594032670-2348.pcap</pktlog>
                        <proto>tcp</proto>
                        <action>alert</action>
                        <tunnel>N/A</tunnel>
                        <tpadding>0</tpadding>
                        <cpadding>0</cpadding>
                        <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                        <dg_hier_level_1>11</dg_hier_level_1>
                        <dg_hier_level_2>0</dg_hier_level_2>
                        <dg_hier_level_3>0</dg_hier_level_3>
                        <dg_hier_level_4>0</dg_hier_level_4>
                        <device_name>PA-VM</device_name>
                        <vsys_id>1</vsys_id>
                        <tunnelid_imsi>0</tunnelid_imsi>
                        <parent_session_id>0</parent_session_id>
                        <threatid>Suspicious HTTP Evasion Found</threatid>
                        <tid>14984</tid>
                        <reportid>0</reportid>
                        <category>computer-and-internet-info</category>
                        <severity>informational</severity>
                        <direction>client-to-server</direction>
                        <url_idx>1</url_idx>
                        <padding>0</padding>
                        <pcap_id>1206408081198547007</pcap_id>
                        <contentver>AppThreat-0-0</contentver>
                        <sig_flags>0x0</sig_flags>
                        <thr_category>spyware</thr_category>
                        <assoc_id>0</assoc_id>
                        <ppid>4294967295</ppid>
                        <http2_connection>0</http2_connection>
                        <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                        <tunnelid>0</tunnelid>
                        <imsi/>
                        <monitortag/>
                        <imei/>
                    </entry>
                </logs>
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

if successful for at least one pair(is_success = true):
print "Successfully listed correlated logs for the following pairs of Source and Destination IPs:\n.{0} - {1}".format(source IP, destination IP.)

Si no se realiza correctamente para ciertos pares o pares incompletos (is_success = true):
print "No se pueden enumerar los registros correlacionados para los siguientes pares de IPs de origen y destino:\n.{0} - {1}".format(source IP, destination IP. En el par incompleto, la parte faltante debe reemplazarse por "N/A")

if no logs for every pair(is_success = false):
print "No correlated network traffic logs were found."

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor, etc.,

print "Error executing action "Get Correlated Traffic Between IPs". Reason: {0}''.format(error.Stacktrace)

 General
Muro de casos en CSV (para cada par)

Nombre: Registros de tráfico entre {IP de origen} y {IP de destino}

Columnas:

  • Hora de recepción (se asigna como receive_time)
  • IP de origen (se asigna como src)
  • IP de destino (se asigna como dst)
  • Acción (se asigna como acción)
  • Tipo (se asigna como subtipo)
  • Aplicación (se asigna como app)

Conectores

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Palo Alto Panorama: conector de registro de amenazas

El conector ingiere registros de amenazas según el filtro de búsqueda especificado y sus parámetros.

Permisos del conector

Para que el conector funcione correctamente, se necesitan los siguientes permisos:

Tab Permisos necesarios
IU web
  • Privacidad (todo)
  • Tasks
  • Global (todos)
API de XML
  • Registro
  • Solicitudes operacionales

Cómo trabajar con el parámetro del conector Query Filter

El parámetro del conector Query Filter te permite personalizar los filtros que se usan para transferir registros. De forma predeterminada, el conector usa un filtro de tiempo y un filtro de gravedad, pero es posible tener filtros más específicos.

A continuación, se muestra un ejemplo de una consulta que usa el conector:

{time_filter} and {severity_filter} and {custom_query_filter}

El valor que ingresas en el parámetro del conector Query Filter se usa en {custom_query_filter}. Por ejemplo, si especificas Query Filter con el atributo (subtype eq spyware), el ejemplo de la búsqueda es el siguiente:

(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio. Descripción
Nombre del campo del producto String Nombre del producto Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento String subtype Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.

Nombre del campo del entorno

 String "" No

Describe el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo del entorno, se usará el entorno predeterminado.

Patrón de regex del entorno

 String .* No

Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Environment Field Name.

El valor predeterminado es .* para capturar todo y devolver el valor sin cambios.

Se usa para permitir que el usuario manipule el campo del entorno con la lógica de expresión regular.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos) Número entero 180 Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API String https://IP_ADDRESS/api Es la raíz de la API de la instancia de Panorama de Palo Alto Networks.
Nombre de usuario String N/A Nombre de usuario de la cuenta de Palo Alto Networks Panorama.
Contraseña Contraseña N/A Contraseña de la cuenta de Palo Alto Networks Panorama.
Filtro de búsqueda String N/A No Especifica filtros adicionales en la consulta.
Gravedad más baja que se recuperará String N/A

Es la gravedad más baja que se usará para recuperar los registros de amenazas. Valores posibles:

Informativo, bajo, medio, alto y crítico.

Recuperar horas máximas hacia atrás Número entero 1 No Cantidad de horas desde las que se recuperarán los registros.
Cantidad máxima de registros que se pueden recuperar Número entero 25 No Cantidad de registros que se procesarán en cada iteración del conector.
Usar la lista blanca como lista negra Casilla de verificación Desmarcado Si se habilita, la lista dinámica se usará como lista de bloqueo.
Verificar SSL Casilla de verificación Marcado Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Panorama de Palo Alto Networks sea válido.
Dirección del servidor proxy String N/A No Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy String N/A No Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy Contraseña N/A No Contraseña del proxy para la autenticación.

Reglas del conector

El conector admite proxies.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.