Cette page a été traduite par l'API Cloud Translation.

Palo Alto Panorama

Version de l'intégration : 29.0

Intégrer Palo Alto Panorama à Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'instance	Chaîne	N/A	Non	Nom de l'instance pour laquelle vous souhaitez configurer l'intégration.
Description	Chaîne	N/A	Non	Description de l'instance.
Racine de l'API	Chaîne	https://`IP_ADDRESS`/api	Oui	Adresse de l'instance Palo Alto Networks Panorama.
Nom d'utilisateur	Chaîne	N/A	Oui	Nom d'utilisateur à utiliser pour se connecter à Palo Alto Networks Panorama.
Mot de passe	Mot de passe	N/A	Oui	Mot de passe de l'utilisateur correspondant.
Exécuter à distance	Case à cocher	Décochée	Non	Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche.

Actions

Certaines actions peuvent nécessiter une configuration supplémentaire, comme des autorisations, un nom d'appareil ou un nom de groupe d'appareils.

Autorisations d'action

Pour que les actions s'exécutent correctement, les autorisations suivantes sont requises :

Tabulation	Autorisations requises
Configuration	Lecture et écriture Autorisations permettant de récupérer ou de modifier les configurations Panorama et de pare-feu.
Demandes opérationnelles	Lecture et écriture Autorisations permettant d'exécuter des commandes opérationnelles sur Panorama et les pare-feu.
Commit	Lecture et écriture Autorisations permettant de valider les configurations Panorama et de pare-feu.

Obtenir le nom d'un appareil ou d'un groupe d'appareils

Pour obtenir le nom de l'appareil, utilisez le lien suivant :

https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices

Pour obtenir le nom du groupe d'appareils, utilisez le lien suivant :

https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group

Ajouter des adresses IP à un groupe

Ajoutez des adresses IP à un groupe d'adresses.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'appareil	Chaîne	N/A	Oui	Indiquez le nom de l'appareil. Le nom d'appareil par défaut pour Palo Alto Networks Panorama est localhost.localdomain.
Nom du groupe d'appareils	Chaîne	N/A	Oui	Indiquez le nom du groupe d'appareils.
Nom du groupe d'adresses	Chaîne	N/A	Oui	Indiquez le nom du groupe d'adresses.

Date d'exécution

Cette action s'exécute sur l'entité "Adresse IP".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    "192.0.2.1",
    "203.0.113.1"
]

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	Si l'opération réussit et qu'au moins une des adresses IP fournies a été ajoutée (is_success = true) : print "Successfully added the following IPs to the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format (address_group, entity.identifier list) Si l'ajout d'adresses IP spécifiques échoue (is_success = true) : print "Action was not able to add the following IPs to the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier]) Si l'ajout échoue pour toutes les adresses IP (is_success = false) : Impression : "Aucune adresse IP n'a été ajoutée au groupe d'adresses Panorama Palo Alto Networks '{0}'.format(address_group)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

Si l'opération réussit et qu'au moins une des adresses IP fournies a été ajoutée (is_success = true) :
print "Successfully added the following IPs to the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format (address_group, entity.identifier list)

Si l'ajout d'adresses IP spécifiques échoue (is_success = true) :

print "Action was not able to add the following IPs to the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Si l'ajout échoue pour toutes les adresses IP (is_success = false) :

Impression : "Aucune adresse IP n'a été ajoutée au groupe d'adresses Panorama Palo Alto Networks '{0}'.format(address_group)

Général

Bloquer des adresses IP dans la règle

Bloquez des adresses IP dans une règle donnée.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'appareil	Chaîne	N/A	Oui	Indiquez le nom de l'appareil. Le nom d'appareil par défaut pour Palo Alto Networks Panorama est localhost.localdomain.
Nom du groupe d'appareils	Chaîne	N/A	Oui	Indiquez le nom du groupe d'appareils.
Nom de la règle	Chaîne	N/A	Oui	Spécifiez le nom de la règle.
Cible	Chaîne	N/A	Oui	Spécifiez la cible. Valeurs possibles : source, destination.

Date d'exécution

Cette action s'exécute sur l'entité "Adresse IP".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    "192.0.2.1",
    "203.0.113.1"
]

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	Si l'opération réussit et qu'au moins une des adresses IP fournies a été bloquée (is_success = true) : print "Successfully blocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list) Si le blocage d'adresses IP spécifiques échoue (is_success = true) : print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier]) Si l'ajout échoue pour toutes les adresses IP (is_success = false) : Imprimer : "Aucune adresse IP n'a été bloquée dans la règle Panorama Palo Alto Networks '{0}'.format(policy_name)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

Si l'opération réussit et qu'au moins une des adresses IP fournies a été bloquée (is_success = true) :
print "Successfully blocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Si le blocage d'adresses IP spécifiques échoue (is_success = true) :

print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Si l'ajout échoue pour toutes les adresses IP (is_success = false) :

Imprimer : "Aucune adresse IP n'a été bloquée dans la règle Panorama Palo Alto Networks '{0}'.format(policy_name)

Général

Bloquer des URL

Ajoutez des URL à une catégorie d'URL donnée.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'appareil	Chaîne	N/A	Oui	Indiquez le nom de l'appareil. Le nom d'appareil par défaut pour Palo Alto Networks Panorama est localhost.localdomain.
Nom du groupe d'appareils	Chaîne	N/A	Oui	Indiquez le nom du groupe d'appareils.
Nom de la catégorie d'URL	Chaîne	N/A	Oui	Spécifiez le nom de la catégorie d'URL.

Date d'exécution

Cette action s'exécute sur l'entité URL.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    "www.example.com"
]

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	Si l'opération réussit et qu'au moins l'une des URL fournies a été ajoutée (is_success = true) : print "Successfully added the following URLs to the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list) Si l'ajout d'URL spécifiques échoue (is_success = true) : print "Action was not able to add the following URLs to the Palo Alto Networks Panorama URL Category''{0}':\n {1}". format(category, [entity.identifier]) Si l'ajout échoue pour toutes les URL (is_success = false) : Impression : "Aucune URL n'a été ajoutée à la catégorie d'URL Panorama de Palo Alto Networks "{0}".format(category)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

Si l'opération réussit et qu'au moins l'une des URL fournies a été ajoutée (is_success = true) :
print "Successfully added the following URLs to the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Si l'ajout d'URL spécifiques échoue (is_success = true) :

print "Action was not able to add the following URLs to the Palo Alto Networks Panorama URL Category''{0}':\n {1}". format(category, [entity.identifier])

Si l'ajout échoue pour toutes les URL (is_success = false) :

Impression : "Aucune URL n'a été ajoutée à la catégorie d'URL Panorama de Palo Alto Networks "{0}".format(category)

Général

Modifier les applications bloquées

Bloquer et débloquer des applications Chaque application est ajoutée à une règle donnée ou supprimée de celle-ci.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Applications à bloquer	Chaîne	N/A	Non	Spécifiez le type d'application à bloquer. Exemple : apple-siri,windows-azure
Applications à débloquer	Chaîne	N/A	Non	Indiquez le type d'application à débloquer. Exemple : apple-siri,windows-azure
Nom de l'appareil	Chaîne	N/A	Oui	Indiquez le nom de l'appareil. Le nom d'appareil par défaut pour Palo Alto Networks Panorama est localhost.localdomain.
Nom du groupe d'appareils	Chaîne	N/A	Oui	Indiquez le nom du groupe d'appareils.
Nom de la règle	Chaîne	N/A	Oui	Spécifiez le nom de la règle.

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]

Obtenir les applications bloquées

Répertoriez toutes les applications bloquées dans une règle donnée.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'appareil	Chaîne	N/A	Oui	Indiquez le nom de l'appareil. Le nom d'appareil par défaut pour Palo Alto Networks Panorama est localhost.localdomain.
Nom du groupe d'appareils	Chaîne	N/A	Oui	Indiquez le nom du groupe d'appareils.
Nom de la règle	Chaîne	N/A	Oui	Spécifiez le nom de la règle.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
blocked_applications	N/A	N/A

Résultat JSON

[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	"Les applications bloquées ont bien été listées dans la règle "{0}" : {1}".format(Nom de la règle, \n liste des applications séparées par des sauts de ligne)	Général

Ping

Testez la connectivité à Panorama.

Paramètres

N/A

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Valider les modifications

L'action valide les modifications dans Palo Alto Networks Panorama.

Pour utiliser le paramètre Only My Changes, l'utilisateur doit être un administrateur.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Mes modifications uniquement	Case à cocher	Décochée	Non	Si cette option est activée, l'action n'appliquera que les modifications effectuées par l'utilisateur actuel.

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Appliquer les modifications

Envoyez les commits d'un groupe d'appareils dans Palo Alto Networks Panorama.

La propagation des modifications peut prendre plusieurs minutes.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du groupe d'appareils	Chaîne	N/A	Oui	Indiquez le nom du groupe d'appareils. Consultez la documentation sur les actions pour en savoir plus sur l'emplacement de cette valeur.

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Supprimer des adresses IP d'un groupe

Supprimez des adresses IP d'un groupe d'adresses.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'appareil	Chaîne	N/A	Oui	Indiquez le nom de l'appareil. Le nom d'appareil par défaut pour Palo Alto Networks Panorama est localhost.localdomain.
Nom du groupe d'appareils	Chaîne	N/A	Oui	Indiquez le nom du groupe d'appareils.
Nom du groupe d'adresses	Chaîne	N/A	Oui	Indiquez le nom du groupe d'adresses.

Date d'exécution

Cette action s'exécute sur l'entité "Adresse IP".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    "192.0.2.1",
    "203.0.113.1"
]

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	if successful and at least one of the provided IPs was removed (is_success = true): print "Successfully removed the following IPs from the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format(address_group, entity.identifier list) Si la suppression d'adresses IP spécifiques échoue (is_success = true) : print "Action was not able to remove the following IPs from the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier]) Si la suppression échoue pour toutes les adresses IP (is_success = false) : Impression : "Aucune adresse IP n'a été supprimée du groupe d'adresses Panorama Palo Alto Networks '{0}'.format(address_group)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

if successful and at least one of the provided IPs was removed (is_success = true):
print "Successfully removed the following IPs from the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format(address_group, entity.identifier list)

Si la suppression d'adresses IP spécifiques échoue (is_success = true) :

print "Action was not able to remove the following IPs from the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Si la suppression échoue pour toutes les adresses IP (is_success = false) :

Impression : "Aucune adresse IP n'a été supprimée du groupe d'adresses Panorama Palo Alto Networks '{0}'.format(address_group)

Général

Débloquer des adresses IP dans une règle

Bloquez des adresses IP dans une règle donnée.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'appareil	Chaîne	N/A	Oui	Indiquez le nom de l'appareil. Le nom d'appareil par défaut pour Palo Alto Networks Panorama est localhost.localdomain.
Nom du groupe d'appareils	Chaîne	N/A	Oui	Indiquez le nom du groupe d'appareils.
Nom de la règle	Chaîne	N/A	Oui	Spécifiez le nom de la règle.
Cible	Chaîne	N/A	Oui	Spécifiez la cible. Valeurs possibles : source, destination.

Date d'exécution

Cette action s'exécute sur l'entité "Adresse IP".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    "192.0.2.1",
    "203.0.113.1"
]

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	Si l'opération réussit et qu'au moins une des adresses IP fournies a été débloquée (is_success = true) : print "Successfully unblocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list) Si le blocage d'adresses IP spécifiques échoue (is_success = true) : print "Action was not able to unblock the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier]) Si l'ajout échoue pour toutes les adresses IP (is_success = false) : Imprimer : "Aucune adresse IP n'a été débloquée dans la règle Panorama Palo Alto Networks '{0}'.format(policy_name)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

Si l'opération réussit et qu'au moins une des adresses IP fournies a été débloquée (is_success = true) :
print "Successfully unblocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Si le blocage d'adresses IP spécifiques échoue (is_success = true) :

print "Action was not able to unblock the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Si l'ajout échoue pour toutes les adresses IP (is_success = false) :

Imprimer : "Aucune adresse IP n'a été débloquée dans la règle Panorama Palo Alto Networks '{0}'.format(policy_name)

Général

Débloquer des URL

Supprimez des URL d'une catégorie d'URL donnée.

Paramètres

Paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'appareil	Chaîne	N/A	Oui	Indiquez le nom de l'appareil. Le nom d'appareil par défaut pour Palo Alto Networks Panorama est localhost.localdomain.
Nom du groupe d'appareils	Chaîne	N/A	Oui	Indiquez le nom du groupe d'appareils.
Nom de la catégorie d'URL	Chaîne	N/A	Oui	Spécifiez le nom de la catégorie d'URL.

Date d'exécution

Cette action s'exécute sur l'entité URL.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    "www.example.com"
]

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	if successful and at least one of the provided URLs was removed (is_success = true): print "Successfully removed the following URLs from the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list) Si l'ajout d'URL spécifiques échoue (is_success = true) : print "Action was not able to remove the following URLs from the Palo Alto Networks Panorama URL Category''{0}':\n {1}".format(category, [entity.identifier]) Si l'ajout échoue pour toutes les URL (is_success = false) : Imprimer : "Aucune URL n'a été supprimée de la catégorie d'URL Panorama de Palo Alto Networks '{0}'.format(category)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

if successful and at least one of the provided URLs was removed (is_success = true):
print "Successfully removed the following URLs from the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Si l'ajout d'URL spécifiques échoue (is_success = true) :

print "Action was not able to remove the following URLs from the Palo Alto Networks Panorama URL Category''{0}':\n {1}".format(category, [entity.identifier])

Si l'ajout échoue pour toutes les URL (is_success = false) :

Imprimer : "Aucune URL n'a été supprimée de la catégorie d'URL Panorama de Palo Alto Networks '{0}'.format(category)

Général

Journaux de recherche

Recherchez des journaux dans Palo Alto Networks Panorama en fonction de la requête.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Type de journal	LDD	Trafic	Oui	Spécifiez le type de journal à renvoyer. Valeurs possibles : Traffic, Threat, URL Filtering, WildFire Submissions, Data Filtering, HIP Match, IP Tag, User ID, Tunnel Inspection, Configuration, System, Authentication.
Requête	Chaîne	N/A	Non	Spécifiez le filtre de requête à utiliser pour renvoyer les journaux.
Nombre maximal d'heures en arrière	Integer	N/A	Non	Spécifiez le nombre d'heures à partir duquel récupérer les journaux.
Nombre maximal de journaux à renvoyer	Integer	50	Non	Indiquez le nombre de journaux à renvoyer. Le maximum est de 1 000.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

  <logs count="1" progress="100">
                <entry logid="28889">
                    <domain>0</domain>
                    <receive_time>2020/07/06 13:51:19</receive_time>
                    <serial>007051000096801</serial>
                    <seqno>21467</seqno>
                    <actionflags>0x0</actionflags>
                    <is-logging-service>no</is-logging-service>
                    <type>THREAT</type>
                    <subtype>spyware</subtype>
                    <config_ver>0</config_ver>
                    <time_generated>2020/07/06 13:51:10</time_generated>
                    <src>192.0.2.1</src>
                    <dst>203.0.113.254</dst>
                    <natsrc>198.51.100.4</natsrc>
                    <natdst>203.0.113.254</natdst>
                    <rule>inside to outside</rule>
                    <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                    <dstloc code="United States" cc="US">United States</dstloc>
                    <app>ms-update</app>
                    <vsys>vsys1</vsys>
                    <from>inside</from>
                    <to>Outside</to>
                    <inbound_if>ethernet1/2</inbound_if>
                    <outbound_if>ethernet1/1</outbound_if>
                    <logset>log forward1</logset>
                    <time_received>2020/07/06 13:51:10</time_received>
                    <sessionid>2348</sessionid>
                    <repeatcnt>1</repeatcnt>
                    <sport>56761</sport>
                    <dport>80</dport>
                    <natsport>45818</natsport>
                    <natdport>80</natdport>
                    <flags>0x80403000</flags>
                    <flag-pcap>yes</flag-pcap>
                    <flag-flagged>no</flag-flagged>
                    <flag-proxy>no</flag-proxy>
                    <flag-url-denied>no</flag-url-denied>
                    <flag-nat>yes</flag-nat>
                    <captive-portal>no</captive-portal>
                    <non-std-dport>no</non-std-dport>
                    <transaction>no</transaction>
                    <pbf-c2s>no</pbf-c2s>
                    <pbf-s2c>no</pbf-s2c>
                    <temporary-match>yes</temporary-match>
                    <sym-return>no</sym-return>
                    <decrypt-mirror>no</decrypt-mirror>
                    <credential-detected>no</credential-detected>
                    <flag-mptcp-set>no</flag-mptcp-set>
                    <flag-tunnel-inspected>no</flag-tunnel-inspected>
                    <flag-recon-excluded>no</flag-recon-excluded>
                    <flag-wf-channel>no</flag-wf-channel>
                    <pktlog>1594032670-2348.pcap</pktlog>
                    <proto>tcp</proto>
                    <action>alert</action>
                    <tunnel>N/A</tunnel>
                    <tpadding>0</tpadding>
                    <cpadding>0</cpadding>
                    <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                    <dg_hier_level_1>11</dg_hier_level_1>
                    <dg_hier_level_2>0</dg_hier_level_2>
                    <dg_hier_level_3>0</dg_hier_level_3>
                    <dg_hier_level_4>0</dg_hier_level_4>
                    <device_name>PA-VM</device_name>
                    <vsys_id>1</vsys_id>
                    <tunnelid_imsi>0</tunnelid_imsi>
                    <parent_session_id>0</parent_session_id>
                    <threatid>Suspicious HTTP Evasion Found</threatid>
                    <tid>14984</tid>
                    <reportid>0</reportid>
                    <category>computer-and-internet-info</category>
                    <severity>informational</severity>
                    <direction>client-to-server</direction>
                    <url_idx>1</url_idx>
                    <padding>0</padding>
                    <pcap_id>1206408081198547007</pcap_id>
                    <contentver>AppThreat-0-0</contentver>
                    <sig_flags>0x0</sig_flags>
                    <thr_category>spyware</thr_category>
                    <assoc_id>0</assoc_id>
                    <ppid>4294967295</ppid>
                    <http2_connection>0</http2_connection>
                    <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                    <tunnelid>0</tunnelid>
                    <imsi/>
                    <monitortag/>
                    <imei/>
                </entry>
            </logs>

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful and returned at least one log (is_success = true): print "Successfully listed {0} logs. Requête utilisée : '{1}' ".format(log_type) if successful, but no logs(is_success = false): print "No {0} logs were found. Used query: '{1}' ".format(log_type, query) Si la requête est incorrecte (état de la réponse = erreur) (is_success=false) : print "Action wasn't able to list logs. Motif : {0}".format(response/msg) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "Search Logs". Raison : {0}''.format(error.Stacktrace)	Général
Mur des cas CSV (trafic)	Nom : Journaux de trafic Colonnes : Heure de réception (mappée en tant que receive_time) Adresse IP source (mappée en tant que src) Adresse IP de destination (mappée en tant que "dst") Action (mappée en tant qu'action) Type (mappé en tant que sous-type) Application (mappée en tant qu'application)
Mur des cas CSV (menace)	Nom : Journaux des menaces Colonnes : Heure de réception (mappée en tant que receive_time) Description (mappée en tant que threatID) Adresse IP source (mappée en tant que src) Adresse IP de destination (mappée en tant que "dst") Nom (mappé comme "Divers") Type (mappé en tant que sous-type) Gravité (mappée en tant que gravité)
Mur des cas CSV (Filtrage des URL)	Nom : Journaux de filtrage des URL Colonnes : Heure de réception (mappée en tant que receive_time) Adresse IP source (mappée en tant que src) Adresse IP de destination (mappée en tant que "dst") URL (mappée comme "Divers") Catégorie (mappée en tant que catégorie) Gravité (mappée en tant que gravité) Action (mappée en tant qu'action)
Mur des cas CSV (Signalements de feux de forêt)	Nom : Journaux des envois de données sur les feux de forêt Colonnes : Heure de réception (mappée en tant que receive_time) Description (mappée en tant que threatID) Adresse IP source (mappée en tant que src) Adresse IP de destination (mappée en tant que "dst") Nom (mappé comme "Divers") Type (mappé en tant que sous-type) Gravité (mappée en tant que gravité) Action (mappée en tant qu'action) Hachage (mappé en tant que filedigest) Type de fichier (mappé en tant que "filetype")
Mur des cas CSV (Filtrage des données)	Nom : journaux de filtrage des données Colonnes : Heure de réception (mappée en tant que receive_time) Description (mappée en tant que threatID) Adresse IP source (mappée en tant que src) Adresse IP de destination (mappée en tant que "dst") Nom (mappé comme "Divers") Type (mappé en tant que sous-type) Gravité (mappée en tant que gravité) Action (mappée en tant qu'action)
Mur des cas CSV (Correspondance HIP)	Nom : Journaux des correspondances HIP Colonnes : Heure de réception (mappée en tant que receive_time) IP (mappée en tant que src) HIP (mappé en tant que matchname) Nombre de répétitions(mappé en tant que repeatcnt) Nom de l'appareil (mappé en tant que device_name)
Mur des cas CSV (Tag d'adresse IP)	Nom : journaux des tags d'adresse IP Colonnes : Heure de réception (mappée en tant que receive_time) Adresse IP (mappée en tant qu'adresse IP) Nom de la balise (mappé en tant que tag_name) Nom de l'appareil (mappé en tant que device_name) ID de l'événement (mappé en tant que event_id)
Mur des cas CSV (ID utilisateur)	Nom : journaux des correspondances d'ID utilisateur Colonnes : Heure de réception (mappée en tant que receive_time) Adresse IP (mappée en tant qu'adresse IP) Utilisateur (mappé en tant qu'utilisateur) Nom de l'appareil (mappé en tant que device_name) Type (mappé en tant que sous-type)
Mur des cas CSV (Inspection du tunnel)	Nom : journaux d'inspection des tunnels Colonnes : Heure de réception (mappée en tant que receive_time) Adresse IP source (mappée en tant que src) Adresse IP de destination (mappée en tant que "dst") Application (mappée en tant qu'application) Type (mappé en tant que sous-type) Gravité (mappée en tant que gravité) Action (mappée en tant qu'action)
Mur des cas CSV (Configuration)	Nom : journaux de configuration Colonnes : Heure de réception (mappée en tant que receive_time) Commande (mappée en tant que cmd) Administrateur (mappé en tant qu'administrateur) Nom de l'appareil (mappé en tant que device_name)
Mur des cas CSV (Système)	Nom : Journaux système Colonnes : Heure de réception (mappée en tant que receive_time) Nom de l'appareil (mappé en tant que device_name) Type (mappé en tant que sous-type) Gravité (mappée en tant que gravité) Description (mappée comme opaque)
Mur des cas CSV (Authentification)	Nom : Journaux d'authentification Colonnes : Heure de réception (mappée en tant que receive_time) Nom de l'appareil (mappé en tant que device_name) Adresse IP (mappée en tant qu'adresse IP) Utilisateur (mappé en tant qu'utilisateur) Type (mappé en tant que sous-type) Gravité (mappée en tant que gravité) Description (mappée en tant que "desc")

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful and returned at least one log (is_success = true):
print "Successfully listed {0} logs. Requête utilisée : '{1}' ".format(log_type)

if successful, but no logs(is_success = false):
print "No {0} logs were found. Used query: '{1}' ".format(log_type, query)

Si la requête est incorrecte (état de la réponse = erreur) (is_success=false) :

print "Action wasn't able to list logs. Motif : {0}".format(response/msg)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) :

print "Error executing action "Search Logs". Raison : {0}''.format(error.Stacktrace)

Général

Mur des cas CSV (trafic)

Nom : Journaux de trafic

Colonnes :

Heure de réception (mappée en tant que receive_time)
Adresse IP source (mappée en tant que src)
Adresse IP de destination (mappée en tant que "dst")
Action (mappée en tant qu'action)
Type (mappé en tant que sous-type)
Application (mappée en tant qu'application)

Mur des cas CSV (menace)

Nom : Journaux des menaces

Colonnes :

Heure de réception (mappée en tant que receive_time)
Description (mappée en tant que threatID)
Adresse IP source (mappée en tant que src)
Adresse IP de destination (mappée en tant que "dst")
Nom (mappé comme "Divers")
Type (mappé en tant que sous-type)
Gravité (mappée en tant que gravité)

Mur des cas CSV

(Filtrage des URL)

Nom : Journaux de filtrage des URL

Colonnes :

Heure de réception (mappée en tant que receive_time)
Adresse IP source (mappée en tant que src)
Adresse IP de destination (mappée en tant que "dst")
URL (mappée comme "Divers")
Catégorie (mappée en tant que catégorie)
Gravité (mappée en tant que gravité)
Action (mappée en tant qu'action)

Mur des cas CSV

(Signalements de feux de forêt)

Nom : Journaux des envois de données sur les feux de forêt

Colonnes :

Heure de réception (mappée en tant que receive_time)
Description (mappée en tant que threatID)
Adresse IP source (mappée en tant que src)
Adresse IP de destination (mappée en tant que "dst")
Nom (mappé comme "Divers")
Type (mappé en tant que sous-type)
Gravité (mappée en tant que gravité)
Action (mappée en tant qu'action)
Hachage (mappé en tant que filedigest)
Type de fichier (mappé en tant que "filetype")

Mur des cas CSV

(Filtrage des données)

Nom : journaux de filtrage des données

Colonnes :

Heure de réception (mappée en tant que receive_time)
Description (mappée en tant que threatID)
Adresse IP source (mappée en tant que src)
Adresse IP de destination (mappée en tant que "dst")
Nom (mappé comme "Divers")
Type (mappé en tant que sous-type)
Gravité (mappée en tant que gravité)
Action (mappée en tant qu'action)

Mur des cas CSV

(Correspondance HIP)

Nom : Journaux des correspondances HIP

Colonnes :

Heure de réception (mappée en tant que receive_time)
IP (mappée en tant que src)
HIP (mappé en tant que matchname)
Nombre de répétitions(mappé en tant que repeatcnt)
Nom de l'appareil (mappé en tant que device_name)

Mur des cas CSV

(Tag d'adresse IP)

Nom : journaux des tags d'adresse IP

Colonnes :

Heure de réception (mappée en tant que receive_time)
Adresse IP (mappée en tant qu'adresse IP)
Nom de la balise (mappé en tant que tag_name)
Nom de l'appareil (mappé en tant que device_name)
ID de l'événement (mappé en tant que event_id)

Mur des cas CSV

(ID utilisateur)

Nom : journaux des correspondances d'ID utilisateur

Colonnes :

Heure de réception (mappée en tant que receive_time)
Adresse IP (mappée en tant qu'adresse IP)
Utilisateur (mappé en tant qu'utilisateur)
Nom de l'appareil (mappé en tant que device_name)
Type (mappé en tant que sous-type)

Mur des cas CSV

(Inspection du tunnel)

Nom : journaux d'inspection des tunnels

Colonnes :

Heure de réception (mappée en tant que receive_time)
Adresse IP source (mappée en tant que src)
Adresse IP de destination (mappée en tant que "dst")
Application (mappée en tant qu'application)
Type (mappé en tant que sous-type)
Gravité (mappée en tant que gravité)
Action (mappée en tant qu'action)

Mur des cas CSV

(Configuration)

Nom : journaux de configuration

Colonnes :

Heure de réception (mappée en tant que receive_time)
Commande (mappée en tant que cmd)
Administrateur (mappé en tant qu'administrateur)
Nom de l'appareil (mappé en tant que device_name)

Mur des cas CSV

(Système)

Nom : Journaux système

Colonnes :

Heure de réception (mappée en tant que receive_time)
Nom de l'appareil (mappé en tant que device_name)
Type (mappé en tant que sous-type)
Gravité (mappée en tant que gravité)
Description (mappée comme opaque)

Mur des cas CSV

(Authentification)

Nom : Journaux d'authentification

Colonnes :

Heure de réception (mappée en tant que receive_time)
Nom de l'appareil (mappé en tant que device_name)
Adresse IP (mappée en tant qu'adresse IP)
Utilisateur (mappé en tant qu'utilisateur)
Type (mappé en tant que sous-type)
Gravité (mappée en tant que gravité)
Description (mappée en tant que "desc")

Obtenir le trafic corrélé entre les adresses IP

L'action renvoie les journaux de trafic réseau corrélés de Palo Alto Networks Panorama entre l'adresse IP source et l'adresse IP de destination.

Recommandations de playbooks

Pour automatiser le processus de récupération du trafic corrélé entre deux adresses IP, utilisez l'attribut Event.sourceAddress pour l'adresse IP source et Event.destinationAddress pour l'adresse IP de destination. Cette approche est recommandée pour les alertes qui ne comportent qu'un seul événement Google SecOps. Dans d'autres cas, des résultats inattendus peuvent se produire.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Adresse IP source	CSV	N/A	Oui	Spécifiez l'adresse IP source qui sera utilisée pour obtenir du trafic.
Adresse IP de destination	CSV	N/A	Oui	Spécifiez l'adresse IP de destination qui sera utilisée pour obtenir du trafic.
Nombre maximal d'heures en arrière	Integer	N/A	Non	Spécifiez le nombre d'heures à partir duquel récupérer les journaux.
Nombre maximal de journaux à renvoyer	Integer	50	Non	Indiquez le nombre de journaux à renvoyer. Le maximum est de 1 000.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

     <logs count="1" progress="100">
                    <entry logid="28889">
                        <domain>0</domain>
                        <receive_time>2020/07/06 13:51:19</receive_time>
                        <serial>007051000096801</serial>
                        <seqno>21467</seqno>
                        <actionflags>0x0</actionflags>
                        <is-logging-service>no</is-logging-service>
                        <type>THREAT</type>
                        <subtype>spyware</subtype>
                        <config_ver>0</config_ver>
                        <time_generated>2020/07/06 13:51:10</time_generated>
                        <src>192.0.2.3</src>
                        <dst>198.51.100.254</dst>
                        <natsrc>203.0.113.4</natsrc>
                        <natdst>198.51.100.254</natdst>
                        <rule>inside to outside</rule>
                        <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                        <dstloc code="United States" cc="US">United States</dstloc>
                        <app>ms-update</app>
                        <vsys>vsys1</vsys>
                        <from>inside</from>
                        <to>Outside</to>
                        <inbound_if>ethernet1/2</inbound_if>
                        <outbound_if>ethernet1/1</outbound_if>
                        <logset>log forward1</logset>
                        <time_received>2020/07/06 13:51:10</time_received>
                        <sessionid>2348</sessionid>
                        <repeatcnt>1</repeatcnt>
                        <sport>56761</sport>
                        <dport>80</dport>
                        <natsport>45818</natsport>
                        <natdport>80</natdport>
                        <flags>0x80403000</flags>
                        <flag-pcap>yes</flag-pcap>
                        <flag-flagged>no</flag-flagged>
                        <flag-proxy>no</flag-proxy>
                        <flag-url-denied>no</flag-url-denied>
                        <flag-nat>yes</flag-nat>
                        <captive-portal>no</captive-portal>
                        <non-std-dport>no</non-std-dport>
                        <transaction>no</transaction>
                        <pbf-c2s>no</pbf-c2s>
                        <pbf-s2c>no</pbf-s2c>
                        <temporary-match>yes</temporary-match>
                        <sym-return>no</sym-return>
                        <decrypt-mirror>no</decrypt-mirror>
                        <credential-detected>no</credential-detected>
                        <flag-mptcp-set>no</flag-mptcp-set>
                        <flag-tunnel-inspected>no</flag-tunnel-inspected>
                        <flag-recon-excluded>no</flag-recon-excluded>
                        <flag-wf-channel>no</flag-wf-channel>
                        <pktlog>1594032670-2348.pcap</pktlog>
                        <proto>tcp</proto>
                        <action>alert</action>
                        <tunnel>N/A</tunnel>
                        <tpadding>0</tpadding>
                        <cpadding>0</cpadding>
                        <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                        <dg_hier_level_1>11</dg_hier_level_1>
                        <dg_hier_level_2>0</dg_hier_level_2>
                        <dg_hier_level_3>0</dg_hier_level_3>
                        <dg_hier_level_4>0</dg_hier_level_4>
                        <device_name>PA-VM</device_name>
                        <vsys_id>1</vsys_id>
                        <tunnelid_imsi>0</tunnelid_imsi>
                        <parent_session_id>0</parent_session_id>
                        <threatid>Suspicious HTTP Evasion Found</threatid>
                        <tid>14984</tid>
                        <reportid>0</reportid>
                        <category>computer-and-internet-info</category>
                        <severity>informational</severity>
                        <direction>client-to-server</direction>
                        <url_idx>1</url_idx>
                        <padding>0</padding>
                        <pcap_id>1206408081198547007</pcap_id>
                        <contentver>AppThreat-0-0</contentver>
                        <sig_flags>0x0</sig_flags>
                        <thr_category>spyware</thr_category>
                        <assoc_id>0</assoc_id>
                        <ppid>4294967295</ppid>
                        <http2_connection>0</http2_connection>
                        <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                        <tunnelid>0</tunnelid>
                        <imsi/>
                        <monitortag/>
                        <imei/>
                    </entry>
                </logs>

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if successful for at least one pair(is_success = true): print "Successfully listed correlated logs for the following pairs of Source and Destination IPs:\n.{0} - {1}".format(source IP, destination IP.) Si l'opération échoue pour certaines paires ou si des paires sont incomplètes (is_success = true) : print "Impossible de lister les journaux corrélés pour les paires d'adresses IP source et de destination suivantes :\n.{0} - {1}".format(source IP, destination IP. Dans la paire incomplète, la partie manquante doit être remplacée par "N/A") if no logs for every pair(is_success = false): print "No correlated network traffic logs were found." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "Get Correlated Traffic Between IPs". Raison : {0}''.format(error.Stacktrace)	Général
Mur des cas au format CSV (pour chaque paire)	Nom : journaux de trafic entre {Source IP} et {Destination IP} Colonnes : Heure de réception (mappée en tant que receive_time) Adresse IP source (mappée en tant que src) Adresse IP de destination (mappée en tant que "dst") Action (mappée en tant qu'action) Type (mappé en tant que sous-type) Application (mappée en tant qu'application)

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if successful for at least one pair(is_success = true):
print "Successfully listed correlated logs for the following pairs of Source and Destination IPs:\n.{0} - {1}".format(source IP, destination IP.)

Si l'opération échoue pour certaines paires ou si des paires sont incomplètes (is_success = true) :
print "Impossible de lister les journaux corrélés pour les paires d'adresses IP source et de destination suivantes :\n.{0} - {1}".format(source IP, destination IP. Dans la paire incomplète, la partie manquante doit être remplacée par "N/A")

if no logs for every pair(is_success = false):
print "No correlated network traffic logs were found."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) :

print "Error executing action "Get Correlated Traffic Between IPs". Raison : {0}''.format(error.Stacktrace)

Général

Mur des cas au format CSV (pour chaque paire)

Nom : journaux de trafic entre {Source IP} et {Destination IP}

Colonnes :

Heure de réception (mappée en tant que receive_time)
Adresse IP source (mappée en tant que src)
Adresse IP de destination (mappée en tant que "dst")
Action (mappée en tant qu'action)
Type (mappé en tant que sous-type)
Application (mappée en tant qu'application)

Connecteurs

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Connecteur de journaux des menaces Palo Alto Panorama

Le connecteur ingère les journaux des menaces en fonction du filtre de requête spécifié et de ses paramètres.

Autorisations du connecteur

Pour que le connecteur fonctionne correctement, les autorisations suivantes sont nécessaires :

Tabulation	Autorisations requises
UI Web	Confidentialité (tous) Tasks Monde (tous)
API XML	Journal Demandes opérationnelles

Utiliser le paramètre de connecteur `Query Filter`

Le paramètre de connecteur Query Filter vous permet de personnaliser les filtres utilisés pour ingérer les journaux. Par défaut, le connecteur utilise un filtre temporel et un filtre de gravité, mais il est possible d'avoir des filtres plus spécifiques.

Voici un exemple de requête utilisée par le connecteur :

{time_filter} and {severity_filter} and {custom_query_filter}

La valeur que vous saisissez dans le paramètre de connecteur Query Filter est utilisée dans {custom_query_filter}. Par exemple, si vous spécifiez Query Filter avec l'attribut (subtype eq spyware), l'exemple de requête est le suivant :

(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	subtype	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ d'environnement	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ `Environment Field Name`. La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ d'environnement à l'aide de la logique d'expression régulière. Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut.
Délai avant expiration du script (en secondes)	Integer	180	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	https://`IP_ADDRESS`/api	Oui	Racine de l'API de l'instance Palo Alto Networks Panorama.
Nom d'utilisateur	Chaîne	N/A	Oui	Nom d'utilisateur du compte Palo Alto Networks Panorama.
Mot de passe	Mot de passe	N/A	Oui	Mot de passe du compte Palo Alto Networks Panorama.
Filtre de requête	Chaîne	N/A	Non	Spécifiez d'autres filtres dans la requête.
Gravité la plus faible à récupérer	Chaîne	N/A	Oui	Niveau de gravité le plus bas qui sera utilisé pour récupérer les journaux des menaces. Valeurs possibles : Information, Faible, Moyenne, Élevée, Critique
Récupérer les heures Max en arrière	Integer	1	Non	Nombre d'heures à partir desquelles récupérer les journaux.
Nombre maximal de journaux à récupérer	Integer	25	Non	Nombre de journaux à traiter par itération de connecteur.
Utiliser la liste blanche comme liste noire	Case à cocher	Décochée	Oui	Si elle est activée, la liste dynamique sera utilisée comme liste de blocage.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Palo Alto Networks Panorama est valide.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.

Règles du connecteur

Le connecteur est compatible avec les proxys.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.