Palo Alto Panorama

Versione integrazione: 29.0

Integra Palo Alto Panorama con Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome istanza Stringa N/D No Nome dell'istanza per cui intendi configurare l'integrazione.
Descrizione Stringa N/D No Descrizione dell'istanza.
Radice API Stringa https://IP_ADDRESS/api Indirizzo dell'istanza di Palo Alto Networks Panorama.
Nome utente Stringa N/D Un nome utente da utilizzare per connettersi a Palo Alto Networks Panorama.
Password Password N/D La password dell'utente corrispondente.
Esegui da remoto Casella di controllo Deselezionata No Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, l'opzione consente di selezionare l'utente remoto (agente).

Azioni

Alcune azioni possono richiedere una configurazione aggiuntiva, come autorizzazioni, nome del dispositivo o nome del gruppo di dispositivi.

Autorizzazioni per le azioni

Perché le azioni vengano eseguite correttamente, sono necessarie le seguenti autorizzazioni:

Scheda Autorizzazioni obbligatorie
Configurazione Read & Write

Autorizzazioni per recuperare o modificare le configurazioni di Panorama e del firewall.
Richieste operative Read & Write

Autorizzazioni per eseguire comandi operativi su Panorama e firewall.
Esegui il commit Read & Write

Autorizzazioni per eseguire il commit delle configurazioni di Panorama e del firewall.

Ottenere il nome del dispositivo o del gruppo di dispositivi

  • Per ottenere il nome del dispositivo, utilizza il seguente link:

    https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices

  • Per ottenere il nome del gruppo di dispositivi, utilizza il seguente link:

    https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group

Aggiungere indirizzi IP al gruppo

Aggiungi indirizzi IP a un gruppo di indirizzi.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome dispositivo Stringa N/D Specifica il nome del dispositivo. Il nome dispositivo predefinito per Palo Alto Networks Panorama è localhost.localdomain.
Nome del gruppo di dispositivi Stringa N/D Specifica il nome del gruppo di dispositivi.
Nome del gruppo di indirizzi Stringa N/D Specifica il nome del gruppo di indirizzi.

Pubblica su

Questa azione viene eseguita sull'entità Indirizzo IP.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

if successful and at least one of the provided IPs was added (is_success = true):
print "Successfully added the following IPs to the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format (address_group, entity.identifier list)

Se l'aggiunta di IP specifici non va a buon fine (is_success = true):

print "Action was not able to add the following IPs to the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Se l'aggiunta non va a buon fine per tutti gli IP (is_success = false):

Stampa: "Nessun IP è stato aggiunto al gruppo di indirizzi Palo Alto Networks Panorama '{0}'.format(address_group)

 Generale

Bloccare gli IP nella policy

Blocca gli indirizzi IP in un determinato criterio.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome dispositivo Stringa N/D Specifica il nome del dispositivo. Il nome dispositivo predefinito per Palo Alto Networks Panorama è localhost.localdomain.
Nome del gruppo di dispositivi Stringa N/D Specifica il nome del gruppo di dispositivi.
Nome del criterio Stringa N/D Specifica il nome della policy.
Target Stringa N/D Specifica quale deve essere il target. Valori possibili: origine, destinazione.

Pubblica su

Questa azione viene eseguita sull'entità Indirizzo IP.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

se l'operazione ha esito positivo e almeno uno degli IP forniti è stato bloccato (is_success = true):
print "Successfully blocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Se non riesci a bloccare IP specifici (is_success = true):

print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Se l'aggiunta non va a buon fine per tutti gli IP (is_success = false):

Stampa: "Nessun IP è stato bloccato nella policy Palo Alto Networks Panorama "{0}".format(policy_name)

Generale

Bloccare URL

Aggiungi URL a una determinata categoria di URL.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome dispositivo Stringa N/D Specifica il nome del dispositivo. Il nome dispositivo predefinito per Palo Alto Networks Panorama è localhost.localdomain.
Nome del gruppo di dispositivi Stringa N/D Specifica il nome del gruppo di dispositivi.
Nome categoria URL Stringa N/D Specifica il nome della categoria URL.

Pubblica su

Questa azione viene eseguita sull'entità URL.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso

is_success:False
Risultato JSON
[
    "www.example.com"
]
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

if successful and at least one of the provided URLs was added (is_success = true):
print "Successfully added the following URLs to the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Se l'aggiunta di URL specifici non va a buon fine (is_success = true):

print "Action was not able to add the following URLs to the Palo Alto Networks Panorama URL Category''{0}':\n {1}". format(category, [entity.identifier])

Se l'aggiunta non va a buon fine per tutti gli URL (is_success = false):

Stampa: "Non sono stati aggiunti URL alla categoria di URL di Palo Alto Networks Panorama "{0}".format(category)

 Generale

Modifica applicazioni bloccate

Bloccare e sbloccare le applicazioni. Ogni applicazione viene aggiunta o rimossa da un determinato criterio.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Applicazioni da bloccare Stringa N/D No Specifica il tipo di applicazione da bloccare. Esempio: apple-siri,windows-azure
Applicazioni da sbloccare Stringa N/D No Specifica il tipo di applicazione da sbloccare. Esempio: apple-siri,windows-azure
Nome dispositivo Stringa N/D Specifica il nome del dispositivo. Il nome dispositivo predefinito per Palo Alto Networks Panorama è localhost.localdomain.
Nome del gruppo di dispositivi Stringa N/D Specifica il nome del gruppo di dispositivi.
Nome del criterio Stringa N/D Specifica il nome della policy.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]

Recupera applicazioni bloccate

Elenca tutte le applicazioni bloccate in un determinato criterio.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome dispositivo Stringa N/D Specifica il nome del dispositivo. Il nome dispositivo predefinito per Palo Alto Networks Panorama è localhost.localdomain.
Nome del gruppo di dispositivi Stringa N/D Specifica il nome del gruppo di dispositivi.
Nome del criterio Stringa N/D Specifica il nome della policy.

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
blocked_applications N/D N/D
Risultato JSON
[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output* "Successfully listed blocked applications in a policy ''{0}: {1}".format(Policy name, \n separated list of applications) Generale

Dindin

Testa la connettività a Panorama.

Parametri

N/D

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False

Esegui il commit delle modifiche

L'azione esegue il commit delle modifiche in Palo Alto Networks Panorama.

Per utilizzare il parametro Only My Changes, l'utente deve essere un amministratore.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Solo le mie modifiche Casella di controllo Deselezionata No Se attivata, l'azione eseguirà il commit solo delle modifiche apportate dall'utente corrente.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False

Esegui il push delle modifiche

Esegui il push dei commit di un gruppo di dispositivi in Palo Alto Networks Panorama.

Potrebbero essere necessari diversi minuti prima che le modifiche vengano applicate.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome del gruppo di dispositivi Stringa N/D Specifica il nome del gruppo di dispositivi. Consulta la documentazione relativa all'azione per ottenere ulteriori informazioni su dove trovare questo valore.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False

Rimuovi indirizzi IP dal gruppo

Rimuovi gli indirizzi IP da un gruppo di indirizzi.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome dispositivo Stringa N/D Specifica il nome del dispositivo. Il nome dispositivo predefinito per Palo Alto Networks Panorama è localhost.localdomain.
Nome del gruppo di dispositivi Stringa N/D Specifica il nome del gruppo di dispositivi.
Nome del gruppo di indirizzi Stringa N/D Specifica il nome del gruppo di indirizzi.

Pubblica su

Questa azione viene eseguita sull'entità Indirizzo IP.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

if successful and at least one of the provided IPs was removed (is_success = true):
print "Successfully removed the following IPs from the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format(address_group, entity.identifier list)

Se non riesci a rimuovere IP specifici (is_success = true):

print "Action was not able to remove the following IPs from the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Se la rimozione non va a buon fine per tutti gli IP (is_success = false):

Stampa: "Nessun IP è stato rimosso dal gruppo di indirizzi Palo Alto Networks Panorama "{0}".format(address_group)

 Generale

Sbloccare gli IP nella policy

Blocca gli indirizzi IP in un determinato criterio.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome dispositivo Stringa N/D Specifica il nome del dispositivo. Il nome dispositivo predefinito per Palo Alto Networks Panorama è localhost.localdomain.
Nome del gruppo di dispositivi Stringa N/D Specifica il nome del gruppo di dispositivi.
Nome del criterio Stringa N/D Specifica il nome della policy.
Target Stringa N/D Specifica quale deve essere il target. Valori possibili: origine, destinazione.

Pubblica su

Questa azione viene eseguita sull'entità Indirizzo IP.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

se l'operazione è riuscita e almeno uno degli IP forniti è stato sbloccato (is_success = true):
print "Successfully unblocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Se il blocco di IP specifici non va a buon fine (is_success = true):

print "Action was not able to unblock the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Se l'aggiunta non va a buon fine per tutti gli IP (is_success = false):

Stampa: "Nessun IP è stato sbloccato nella policy Palo Alto Networks Panorama "{0}".format(policy_name)

Generale

Sbloccare gli URL

Rimuovi gli URL da una determinata categoria di URL.

Parametri

Parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome dispositivo Stringa N/D Specifica il nome del dispositivo. Il nome dispositivo predefinito per Palo Alto Networks Panorama è localhost.localdomain.
Nome del gruppo di dispositivi Stringa N/D Specifica il nome del gruppo di dispositivi.
Nome categoria URL Stringa N/D Specifica il nome della categoria URL.

Pubblica su

Questa azione viene eseguita sull'entità URL.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso

is_success:False
Risultato JSON
[
    "www.example.com"
]
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

if successful and at least one of the provided URLs was removed (is_success = true):
print "Successfully removed the following URLs from the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Se non riesci ad aggiungere URL specifici (is_success = true):

print "Action was not able to remove the following URLs from the Palo Alto Networks Panorama URL Category''{0}':\n {1}".format(category, [entity.identifier])

Se l'aggiunta non va a buon fine per tutti gli URL (is_success = false):

Stampa: "Nessun URL è stato rimosso dalla categoria "{0}" dell'URL di Palo Alto Networks Panorama.format(category)

 Generale

Log di ricerca

Cerca i log in Palo Alto Networks Panorama in base alla query.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Tipo di log DDL Traffico

Specifica il tipo di log da restituire.

Valori possibili: Traffic, Threat, URL Filtering, WildFire Submissions, Data Filtering, HIP Match, IP Tag, User ID, Tunnel Inspection, Configuration, System, Authentication.
Query Stringa N/D No Specifica il filtro di query da utilizzare per restituire i log.
Ore massime indietro Numero intero N/D No Specifica il numero di ore da cui recuperare i log.
Numero massimo di log da restituire Numero intero 50 No Specifica il numero di log da restituire. Il valore massimo è 1000.

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
  <logs count="1" progress="100">
                <entry logid="28889">
                    <domain>0</domain>
                    <receive_time>2020/07/06 13:51:19</receive_time>
                    <serial>007051000096801</serial>
                    <seqno>21467</seqno>
                    <actionflags>0x0</actionflags>
                    <is-logging-service>no</is-logging-service>
                    <type>THREAT</type>
                    <subtype>spyware</subtype>
                    <config_ver>0</config_ver>
                    <time_generated>2020/07/06 13:51:10</time_generated>
                    <src>192.0.2.1</src>
                    <dst>203.0.113.254</dst>
                    <natsrc>198.51.100.4</natsrc>
                    <natdst>203.0.113.254</natdst>
                    <rule>inside to outside</rule>
                    <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                    <dstloc code="United States" cc="US">United States</dstloc>
                    <app>ms-update</app>
                    <vsys>vsys1</vsys>
                    <from>inside</from>
                    <to>Outside</to>
                    <inbound_if>ethernet1/2</inbound_if>
                    <outbound_if>ethernet1/1</outbound_if>
                    <logset>log forward1</logset>
                    <time_received>2020/07/06 13:51:10</time_received>
                    <sessionid>2348</sessionid>
                    <repeatcnt>1</repeatcnt>
                    <sport>56761</sport>
                    <dport>80</dport>
                    <natsport>45818</natsport>
                    <natdport>80</natdport>
                    <flags>0x80403000</flags>
                    <flag-pcap>yes</flag-pcap>
                    <flag-flagged>no</flag-flagged>
                    <flag-proxy>no</flag-proxy>
                    <flag-url-denied>no</flag-url-denied>
                    <flag-nat>yes</flag-nat>
                    <captive-portal>no</captive-portal>
                    <non-std-dport>no</non-std-dport>
                    <transaction>no</transaction>
                    <pbf-c2s>no</pbf-c2s>
                    <pbf-s2c>no</pbf-s2c>
                    <temporary-match>yes</temporary-match>
                    <sym-return>no</sym-return>
                    <decrypt-mirror>no</decrypt-mirror>
                    <credential-detected>no</credential-detected>
                    <flag-mptcp-set>no</flag-mptcp-set>
                    <flag-tunnel-inspected>no</flag-tunnel-inspected>
                    <flag-recon-excluded>no</flag-recon-excluded>
                    <flag-wf-channel>no</flag-wf-channel>
                    <pktlog>1594032670-2348.pcap</pktlog>
                    <proto>tcp</proto>
                    <action>alert</action>
                    <tunnel>N/A</tunnel>
                    <tpadding>0</tpadding>
                    <cpadding>0</cpadding>
                    <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                    <dg_hier_level_1>11</dg_hier_level_1>
                    <dg_hier_level_2>0</dg_hier_level_2>
                    <dg_hier_level_3>0</dg_hier_level_3>
                    <dg_hier_level_4>0</dg_hier_level_4>
                    <device_name>PA-VM</device_name>
                    <vsys_id>1</vsys_id>
                    <tunnelid_imsi>0</tunnelid_imsi>
                    <parent_session_id>0</parent_session_id>
                    <threatid>Suspicious HTTP Evasion Found</threatid>
                    <tid>14984</tid>
                    <reportid>0</reportid>
                    <category>computer-and-internet-info</category>
                    <severity>informational</severity>
                    <direction>client-to-server</direction>
                    <url_idx>1</url_idx>
                    <padding>0</padding>
                    <pcap_id>1206408081198547007</pcap_id>
                    <contentver>AppThreat-0-0</contentver>
                    <sig_flags>0x0</sig_flags>
                    <thr_category>spyware</thr_category>
                    <assoc_id>0</assoc_id>
                    <ppid>4294967295</ppid>
                    <http2_connection>0</http2_connection>
                    <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                    <tunnelid>0</tunnelid>
                    <imsi/>
                    <monitortag/>
                    <imei/>
                </entry>
            </logs>
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

if successful and returned at least one log (is_success = true):
print "Successfully listed {0} logs. Query utilizzata: "{1}' ".format(log_type)

if successful, but no logs(is_success = false):
print "No {0} logs were found. Used query: '{1}' ".format(log_type, query)

Se la query non è corretta (stato della risposta = errore) (is_success=false):

print "Action wasn't able to list logs. Motivo: {0}".format(response/msg)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

if fatal error, like wrong credentials, no connection to the server, other:

print "Error executing action "Search Logs". Motivo: {0}''.format(error.Stacktrace)

 Generale
Bacheca casi CSV (traffico)

Nome: Log sul traffico

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • IP di origine (mappato come src)
  • IP di destinazione (mappato come dst)
  • Azione (mappata come azione)
  • Tipo (mappato come sottotipo)
  • Applicazione (mappata come app)
Bacheca casi CSV (minaccia)

Nome:log delle minacce

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • Descrizione (mappata come threatID)
  • IP di origine (mappato come src)
  • IP di destinazione (mappato come dst)
  • Nome (mappato come vario)
  • Tipo (mappato come sottotipo)
  • Gravità (mappata come gravità)

Bacheca casi CSV

(Filtro degli URL)

Nome: log del filtro degli URL

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • IP di origine (mappato come src)
  • IP di destinazione (mappato come dst)
  • URL (mappato come vario)
  • Categoria (mappata come categoria)
  • Gravità (mappata come gravità)
  • Azione (mappata come azione)

Bacheca casi CSV

(Invii relativi agli incendi)

Nome: Log di invio degli incendi boschivi

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • Descrizione (mappata come threatID)
  • IP di origine (mappato come src)
  • IP di destinazione (mappato come dst)
  • Nome (mappato come vario)
  • Tipo (mappato come sottotipo)
  • Gravità (mappata come gravità)
  • Azione (mappata come azione)
  • Hash (mappato come filedigest)
  • Tipo di file (mappato come tipo di file)

Bacheca casi CSV

(Filtro dei dati)

Nome:log del filtro dei dati

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • Descrizione (mappata come threatID)
  • IP di origine (mappato come src)
  • IP di destinazione (mappato come dst)
  • Nome (mappato come vario)
  • Tipo (mappato come sottotipo)
  • Gravità (mappata come gravità)
  • Azione (mappata come azione)

Bacheca casi CSV

(corrispondenza HIP)

Nome:HIP Match Logs

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • IP (mappato come src)
  • HIP (mappato come matchname)
  • Repeat Count(mappato come repeatcnt)
  • Nome del dispositivo (mappato come device_name)

Bacheca casi CSV

(Tag IP)

Nome: log dei tag IP

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • IP (mappato come ip)
  • Nome tag (mappato come tag_name)
  • Nome del dispositivo (mappato come device_name)
  • ID evento (mappato come event_id)

Bacheca casi CSV

(ID utente)

Nome: User ID Match Logs

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • IP (mappato come ip)
  • Utente (mappato come utente)
  • Nome dispositivo (mappato come device_name)
  • Tipo (mappato come sottotipo)

Bacheca casi CSV

(Ispezione del tunnel)

Nome:Tunnel Inspection Logs

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • IP di origine (mappato come src)
  • IP di destinazione (mappato come dst)
  • Applicazione (mappata come app)
  • Tipo (mappato come sottotipo)
  • Gravità (mappata come gravità)
  • Azione (mappata come azione)

Bacheca casi CSV

(Configurazione)

Nome: log di configurazione

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • Command (mappato come cmd)
  • Amministratore (mappato come amministratore)
  • Nome del dispositivo (mappato come device_name)

Bacheca casi CSV

(Sistema)

Nome: Log di sistema

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • Nome del dispositivo (mappato come device_name)
  • Tipo (mappato come sottotipo)
  • Gravità (mappata come gravità)
  • Descrizione (mappata come opaca)

Bacheca casi CSV

(Autenticazione)

Nome:log di autenticazione

Colonne:

  • Ora di ricezione (mappata come receive_time)
  • Nome dispositivo (mappato come device_name)
  • IP (mappato come ip)
  • Utente (mappato come utente)
  • Tipo (mappato come sottotipo)
  • Gravità (mappata come gravità)
  • Descrizione (mappata come desc)

Visualizzare il traffico correlato tra indirizzi IP

L'azione restituisce i log del traffico di rete correlati da Palo Alto Networks Panorama tra l'indirizzo IP di origine e l'indirizzo IP di destinazione.

Consigli sui playbook

Per automatizzare il processo di recupero del traffico correlato tra due indirizzi IP, utilizza l'attributo Event.sourceAddress per l'indirizzo IP di origine e Event.destinationAddress per l'indirizzo IP di destinazione. Questo approccio è consigliato per gli avvisi che hanno un solo evento Google SecOps. In altri casi, possono verificarsi risultati imprevisti.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
IP di origine CSV N/D Specifica l'IP di origine che verrà utilizzato per ottenere il traffico.
IP di destinazione CSV N/D Specifica l'IP di destinazione che verrà utilizzato per ottenere il traffico.
Ore massime indietro Numero intero N/D No Specifica il numero di ore da cui recuperare i log.
Numero massimo di log da restituire Numero intero 50 No Specifica il numero di log da restituire. Il valore massimo è 1000.

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
     <logs count="1" progress="100">
                    <entry logid="28889">
                        <domain>0</domain>
                        <receive_time>2020/07/06 13:51:19</receive_time>
                        <serial>007051000096801</serial>
                        <seqno>21467</seqno>
                        <actionflags>0x0</actionflags>
                        <is-logging-service>no</is-logging-service>
                        <type>THREAT</type>
                        <subtype>spyware</subtype>
                        <config_ver>0</config_ver>
                        <time_generated>2020/07/06 13:51:10</time_generated>
                        <src>192.0.2.3</src>
                        <dst>198.51.100.254</dst>
                        <natsrc>203.0.113.4</natsrc>
                        <natdst>198.51.100.254</natdst>
                        <rule>inside to outside</rule>
                        <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                        <dstloc code="United States" cc="US">United States</dstloc>
                        <app>ms-update</app>
                        <vsys>vsys1</vsys>
                        <from>inside</from>
                        <to>Outside</to>
                        <inbound_if>ethernet1/2</inbound_if>
                        <outbound_if>ethernet1/1</outbound_if>
                        <logset>log forward1</logset>
                        <time_received>2020/07/06 13:51:10</time_received>
                        <sessionid>2348</sessionid>
                        <repeatcnt>1</repeatcnt>
                        <sport>56761</sport>
                        <dport>80</dport>
                        <natsport>45818</natsport>
                        <natdport>80</natdport>
                        <flags>0x80403000</flags>
                        <flag-pcap>yes</flag-pcap>
                        <flag-flagged>no</flag-flagged>
                        <flag-proxy>no</flag-proxy>
                        <flag-url-denied>no</flag-url-denied>
                        <flag-nat>yes</flag-nat>
                        <captive-portal>no</captive-portal>
                        <non-std-dport>no</non-std-dport>
                        <transaction>no</transaction>
                        <pbf-c2s>no</pbf-c2s>
                        <pbf-s2c>no</pbf-s2c>
                        <temporary-match>yes</temporary-match>
                        <sym-return>no</sym-return>
                        <decrypt-mirror>no</decrypt-mirror>
                        <credential-detected>no</credential-detected>
                        <flag-mptcp-set>no</flag-mptcp-set>
                        <flag-tunnel-inspected>no</flag-tunnel-inspected>
                        <flag-recon-excluded>no</flag-recon-excluded>
                        <flag-wf-channel>no</flag-wf-channel>
                        <pktlog>1594032670-2348.pcap</pktlog>
                        <proto>tcp</proto>
                        <action>alert</action>
                        <tunnel>N/A</tunnel>
                        <tpadding>0</tpadding>
                        <cpadding>0</cpadding>
                        <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                        <dg_hier_level_1>11</dg_hier_level_1>
                        <dg_hier_level_2>0</dg_hier_level_2>
                        <dg_hier_level_3>0</dg_hier_level_3>
                        <dg_hier_level_4>0</dg_hier_level_4>
                        <device_name>PA-VM</device_name>
                        <vsys_id>1</vsys_id>
                        <tunnelid_imsi>0</tunnelid_imsi>
                        <parent_session_id>0</parent_session_id>
                        <threatid>Suspicious HTTP Evasion Found</threatid>
                        <tid>14984</tid>
                        <reportid>0</reportid>
                        <category>computer-and-internet-info</category>
                        <severity>informational</severity>
                        <direction>client-to-server</direction>
                        <url_idx>1</url_idx>
                        <padding>0</padding>
                        <pcap_id>1206408081198547007</pcap_id>
                        <contentver>AppThreat-0-0</contentver>
                        <sig_flags>0x0</sig_flags>
                        <thr_category>spyware</thr_category>
                        <assoc_id>0</assoc_id>
                        <ppid>4294967295</ppid>
                        <http2_connection>0</http2_connection>
                        <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                        <tunnelid>0</tunnelid>
                        <imsi/>
                        <monitortag/>
                        <imei/>
                    </entry>
                </logs>
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

if successful for at least one pair(is_success = true):
print "Successfully listed correlated logs for the following pairs of Source and Destination IPs:\n.{0} - {1}".format(source IP, destination IP.)

se l'operazione non va a buon fine per determinate coppie o coppie incomplete (is_success = true):
stampa "Impossibile elencare i log correlati per le seguenti coppie di IP di origine e destinazione:\n.{0} - {1}".format(source IP, destination IP. Nella coppia incompleta, la parte mancante deve essere sostituita con "N/A")

if no logs for every pair(is_success = false):
print "No correlated network traffic logs were found."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

if fatal error, like wrong credentials, no connection to the server, other:

print "Error executing action "Get Correlated Traffic Between IPs". Motivo: {0}''.format(error.Stacktrace)

 Generale
Bacheca casi CSV (per ogni coppia)

Nome: Log di traffico tra {Source IP} e {Destination IP}

Colonne:

  • Ora di ricezione (mappato come receive_time)
  • IP di origine (mappato come src)
  • IP di destinazione (mappato come destinazione)
  • Azione (mappata come azione)
  • Tipo (mappato come sottotipo)
  • Applicazione (mappata come app)

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Palo Alto Panorama - Threat Log Connector

Il connettore acquisisce i log delle minacce in base al filtro di query specificato e ai relativi parametri.

Autorizzazioni connettore

Affinché il connettore funzioni correttamente, sono necessarie le seguenti autorizzazioni:

Scheda Autorizzazioni obbligatorie
UI web
  • Privacy (tutti)
  • Tasks
  • Globale (tutti)
API XML
  • Log
  • Richieste operative

Come utilizzare il parametro del connettore Query Filter

Il parametro del connettore Query Filter ti consente di personalizzare i filtri utilizzati per l'importazione dei log. Per impostazione predefinita, il connettore utilizza un filtro temporale e un filtro di gravità, ma è possibile avere filtri più specifici.

Di seguito è riportato un esempio di query utilizzata dal connettore:

{time_filter} and {severity_filter} and {custom_query_filter}

Il valore inserito nel parametro del connettore Query Filter viene utilizzato in {custom_query_filter}. Ad esempio, se specifichi Query Filter con l'attributo (subtype eq spyware), l'esempio di query è il seguente:

(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome campo prodotto Stringa Nome prodotto Inserisci il nome del campo di origine per recuperare il nome del campo prodotto.
Nome campo evento Stringa sottotipo Inserisci il nome del campo di origine per recuperare il nome del campo evento.

Nome campo ambiente

 Stringa "" No

Descrive il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito.

Pattern regex dell'ambiente

 Stringa .* No

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name.

Il valore predefinito è .* per acquisire tutto e restituire il valore invariato.

Utilizzato per consentire all'utente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è l'ambiente predefinito.
Timeout dello script (secondi) Numero intero 180 Limite di timeout per il processo Python che esegue lo script corrente.
Root API Stringa https://IP_ADDRESS/api Radice API dell'istanza di Palo Alto Networks Panorama.
Nome utente Stringa N/D Nome utente dell'account Palo Alto Networks Panorama.
Password Password N/D Password dell'account Palo Alto Networks Panorama.
Filtro query Stringa N/D No Specifica filtri aggiuntivi nella query.
Gravità minima da recuperare Stringa N/D

La gravità più bassa che verrà utilizzata per recuperare i log delle minacce. Valori possibili:

Informativo, Basso, Medio, Alto, Critico.

Recupero ore massime a ritroso Numero intero 1 No Quantità di ore da cui recuperare i log.
Numero massimo di log da recuperare Numero intero 25 No Numero di log da elaborare per un'iterazione del connettore.
Utilizzare la lista consentita come lista nera Casella di controllo Deselezionata Se attivato, l'elenco dinamico verrà utilizzato come lista bloccata.
Verifica SSL Casella di controllo Selezionata Se abilitato, verifica che il certificato SSL per la connessione al server Palo Alto Networks Panorama sia valido.
Indirizzo del server proxy Stringa N/D No L'indirizzo del server proxy da utilizzare.
Nome utente proxy Stringa N/D No Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy Password N/D No La password del proxy per l'autenticazione.

Regole del connettore

Il connettore supporta i proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.