Palo Alto Panorama
Versão da integração: 29.0
Integre o Palo Alto Panorama com o Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://IP_ADDRESS/api |
Sim | Endereço da instância do Palo Alto Networks Panorama. |
| Nome de utilizador | String | N/A | Sim | Um nome de utilizador que deve ser usado para estabelecer ligação ao Palo Alto Networks Panorama. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe do utilizador correspondente. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção é apresentada para selecionar o utilizador remoto (agente). |
Ações
Algumas ações podem exigir uma configuração adicional, como autorizações, nome do dispositivo ou nome do grupo de dispositivos.
Autorizações de ações
Para que as ações sejam executadas corretamente, são necessárias as seguintes autorizações:
| Tabulação | Autorizações necessárias |
|---|---|
| Configuração | Leitura e escrita Autorizações para obter ou modificar as configurações do Panorama e da firewall. |
| Pedidos operacionais | Leitura e escrita Autorizações para executar comandos operacionais no Panorama e nas firewalls. |
| Consolidação | Leitura e escrita Autorizações para confirmar configurações de panorama e firewall. |
Obtenha o nome do dispositivo ou o nome do grupo de dispositivos
Para obter o nome do dispositivo, use o seguinte link:
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devicesPara obter o nome do grupo de dispositivos, use o seguinte link:
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group
Adicione IPs ao grupo
Adicione endereços IP a um grupo de endereços.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome do dispositivo predefinido para o Palo Alto Networks Panorama é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome do grupo de endereços | String | N/A | Sim | Especifique o nome do grupo de endereços. |
É apresentado em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"192.0.2.1",
"203.0.113.1"
]
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | if successful and at least one of the provided IPs was added
(is_success = true): Se não conseguir adicionar IPs específicos (is_success = true): print "Action was not able to add the following IPs to the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier]) Se falhar a adição para todos os IPs (is_success = false): Print: "No IPs were added to the Palo Alto Networks Panorama address group '{0}'.format(address_group) |
Geral |
Bloqueie IPs na política
Bloqueie endereços IP numa determinada política.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome do dispositivo predefinido para o Palo Alto Networks Panorama é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da política | String | N/A | Sim | Especifique o nome da política. |
| Destino | String | N/A | Sim | Especifique o que deve ser o alvo. Valores possíveis: source, destination. |
É apresentado em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"192.0.2.1",
"203.0.113.1"
]
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | if successful and at least one of the provided IPs was
blocked (is_success = true): If fail to block specific IPs (is_success = true): print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier]) Se falhar a adição para todos os IPs (is_success = false): Print: "No IPs were blocked in the Palo Alto Networks Panorama policy '{0}'.format(policy_name) |
Geral |
Bloqueie URLs
Adicione URLs a uma determinada categoria de URL.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome do dispositivo predefinido para o Palo Alto Networks Panorama é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da categoria de URL | String | N/A | Sim | Especifique o nome da categoria de URL. |
É apresentado em
Esta ação é executada na entidade URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"www.example.com"
]
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | if successful and at least one of the provided URLs was added
(is_success = true): If fail to add specific URLs (is_success = true): print "Action was not able to add the following URLs to the Palo Alto Networks Panorama URL Category''{0}':\n {1}". format(category, [entity.identifier]) If fail to add for all URLs (is_success = false): Print: "No URLs were added to the Palo Alto Networks Panorama URL Category '{0}'.format(category) |
Geral |
Edite aplicações bloqueadas
Bloquear e desbloquear aplicações. Cada aplicação é adicionada ou removida de uma determinada política.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Aplicações a bloquear | String | N/A | Não | Especifique que tipo de aplicação deve ser bloqueado. Exemplo: apple-siri,windows-azure |
| Aplicações a desbloquear | String | N/A | Não | Especifique que tipo de aplicação deve ser desbloqueada. Exemplo: apple-siri,windows-azure |
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome do dispositivo predefinido para o Palo Alto Networks Panorama é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da política | String | N/A | Sim | Especifique o nome da política. |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
Obtenha aplicações bloqueadas
Apresentar uma lista de todas as aplicações bloqueadas numa determinada política.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome do dispositivo predefinido para o Palo Alto Networks Panorama é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da política | String | N/A | Sim | Especifique o nome da política. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| blocked_applications | N/A | N/A |
Resultado JSON
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | "Successfully listed blocked applications in a policy ''{0}: {1}".format(Policy name, \n separated list of applications) | Geral |
Tchim-tchim
Teste a conetividade ao Panorama.
Parâmetros
N/A
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Consolidar alterações
A ação confirma as alterações no Palo Alto Networks Panorama.
Para usar o parâmetro Only My Changes, o utilizador tem de ser um administrador.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Apenas as minhas alterações | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação só confirma as alterações feitas pelo utilizador atual. |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Enviar alterações
Envie commits de um grupo de dispositivos no Palo Alto Networks Panorama.
Pode demorar vários minutos até que as alterações sejam enviadas.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. Consulte a documentação de ações para obter mais informações sobre onde pode encontrar este valor. |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Remova IPs do grupo
Remova endereços IP de um grupo de endereços.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome do dispositivo predefinido para o Palo Alto Networks Panorama é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome do grupo de endereços | String | N/A | Sim | Especifique o nome do grupo de endereços. |
É apresentado em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"192.0.2.1",
"203.0.113.1"
]
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | if successful and at least one of the provided IPs was removed
(is_success = true): Se não for possível remover IPs específicos (is_success = true): print "Action was not able to remove the following IPs from the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier]) If fail to remove for all IPs (is_success = false): Print: "No IPs were removed from the Palo Alto Networks Panorama address group '{0}'.format(address_group) |
Geral |
Desbloqueie IPs na política
Bloqueie endereços IP numa determinada política.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome do dispositivo predefinido para o Palo Alto Networks Panorama é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da política | String | N/A | Sim | Especifique o nome da política. |
| Destino | String | N/A | Sim | Especifique o que deve ser o alvo. Valores possíveis: source, destination. |
É apresentado em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"192.0.2.1",
"203.0.113.1"
]
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | if successful and at least one of the provided IPs was unblocked
(is_success = true): Se não for possível bloquear IPs específicos (is_success = true): print "Action was not able to unblock the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier]) Se falhar a adição para todos os IPs (is_success = false): Print: "No IPs were unblocked in the Palo Alto Networks Panorama policy '{0}'.format(policy_name) |
Geral |
Desbloqueie URLs
Remover URLs de uma determinada categoria de URL.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome do dispositivo predefinido para o Palo Alto Networks Panorama é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da categoria de URL | String | N/A | Sim | Especifique o nome da categoria de URL. |
É apresentado em
Esta ação é executada na entidade URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"www.example.com"
]
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | if successful and at least one of the provided URLs was removed
(is_success = true): Se não conseguir adicionar URLs específicos (is_success = true): print "Action was not able to remove the following URLs from the Palo Alto Networks Panorama URL Category''{0}':\n {1}".format(category, [entity.identifier])
If fail to add for all URLs (is_success = false): Print: "No URLs were removed from the Palo Alto Networks Panorama URL Category '{0}'.format(category) |
Geral |
Registos de pesquisa
Pesquise registos no Palo Alto Networks Panorama com base na consulta.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de registo | LDD | Trânsito | Sim | Especifique o tipo de registo que deve ser devolvido. Valores possíveis: Traffic, Threat, URL Filtering, WildFire Submissions, Data Filtering, HIP Match, IP Tag, User ID, Tunnel Inspection, Configuration, System, Authentication. |
| Consulta | String | N/A | Não | Especifique o filtro de consulta que deve ser usado para devolver registos. |
| Máximo de horas para trás | Número inteiro | N/A | Não | Especifique o número de horas a partir do qual quer obter os registos. |
| Número máximo de registos a devolver | Número inteiro | 50 | Não | Especifique quantos registos devolver. O máximo é 1000. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.1</src>
<dst>203.0.113.254</dst>
<natsrc>198.51.100.4</natsrc>
<natdst>203.0.113.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if successful and returned at least one log
(is_success = true): if successful,
but no logs(is_success = false): Se a consulta estiver incorreta (response status = error) (is_success=false): print "Não foi possível listar os registos. Motivo: {0}".format(response/msg) A ação deve falhar e parar a execução de um guia interativo: se erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: print "Error executing action "Search Logs". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| CSV Case Wall (Tráfego) | Nome: registos de tráfego Colunas:
|
|
| CSV Case Wall (ameaça) | Nome: registos de ameaças Colunas:
|
|
CSV Case Wall (Filtragem de URLs) |
Nome: registos de filtragem de URLs Colunas:
|
|
CSV Case Wall (Envios de incêndios florestais) |
Nome: registos de envio de incêndios florestais Colunas:
|
|
CSV Case Wall (Filtragem de dados) |
Nome: registos de filtragem de dados Colunas:
|
|
CSV Case Wall (HIP Match) |
Nome: registos de correspondências de HIP Colunas:
|
|
CSV Case Wall (Etiqueta de IP) |
Nome: registos de etiquetas de IP Colunas:
|
|
CSV Case Wall (ID do utilizador) |
Nome: registos de correspondência de User IDs Colunas:
|
|
CSV Case Wall (Inspeção de túneis) |
Nome: registos de inspeção de túneis Colunas:
|
|
CSV Case Wall (Configuração) |
Nome: registos de configuração Colunas:
|
|
CSV Case Wall (Sistema) |
Nome: registos do sistema Colunas:
|
|
CSV Case Wall (Autenticação) |
Nome: registos de autenticação Colunas:
|
Obtenha tráfego correlacionado entre IPs
A ação devolve registos de tráfego de rede correlacionados do Palo Alto Networks Panorama entre o endereço IP de origem e o endereço IP de destino.
Recomendações do guia interativo
Para automatizar o processo de obtenção de tráfego correlacionado entre dois IPs, use o atributo Event.sourceAddress para o endereço IP de origem e Event.destinationAddress para o endereço IP de destino. Esta abordagem é
recomendada para alertas que só têm um evento do Google SecOps. Noutros casos, podem ocorrer resultados inesperados.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IP da fonte | CSV | N/A | Sim | Especifique o IP de origem que vai ser usado para receber tráfego. |
| IP de destino | CSV | N/A | Sim | Especifique o IP de destino que vai ser usado para receber tráfego. |
| Máximo de horas para trás | Número inteiro | N/A | Não | Especifique o número de horas a partir do qual quer obter os registos. |
| Número máximo de registos a devolver | Número inteiro | 50 | Não | Especifique quantos registos devolver. O máximo é 1000. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.3</src>
<dst>198.51.100.254</dst>
<natsrc>203.0.113.4</natsrc>
<natdst>198.51.100.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
Parede da caixa
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if successful for at least one pair(is_success = true):
if unsuccessful for certain pairs or incomplete
pairs (is_success = true): if no logs for every pair(is_success =
false): A ação deve falhar e parar a execução de um guia interativo: se erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: print "Error executing action "Get Correlated Traffic Between IPs". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| CSV Case Wall (para cada par) | Nome: registos de tráfego entre {Source IP} e {Destination IP} Colunas:
|
Conetores
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Palo Alto Panorama – Conetor de registos de ameaças
O conector carrega registos de ameaças com base no filtro de consulta especificado e nos respetivos parâmetros.
Autorizações do conetor
Para que o conector funcione corretamente, são necessárias as seguintes autorizações:
| Tabulação | Autorizações necessárias |
|---|---|
| IU da Web |
|
| API XML |
|
Como trabalhar com o parâmetro do conector Query Filter
O parâmetro do conector Query Filter permite-lhe personalizar os filtros que são usados para carregar registos. Por predefinição, o conector usa um filtro de tempo e um filtro de gravidade, mas é possível ter filtros mais específicos.
Segue-se um exemplo de uma consulta usada pelo conector:
{time_filter} and {severity_filter} and {custom_query_filter}
O valor que introduz no parâmetro do conector Query Filter é usado em {custom_query_filter}. Por exemplo, se especificar o elemento
Query Filter com o atributo (subtype eq spyware), o exemplo da
consulta é o seguinte:
(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | subtype | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
Nome do campo do ambiente |
String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
Padrão de expressão regular do ambiente |
String | .* | Não | Um padrão de expressão regular a executar no valor encontrado no campo A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo de ambiente através da lógica de expressão regular. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://IP_ADDRESS/api |
Sim | Raiz da API da instância do Panorama da Palo Alto Networks. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Palo Alto Networks Panorama. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do Palo Alto Networks Panorama. |
| Filtro de consulta | String | N/A | Não | Especifique filtros adicionais na consulta. |
| Gravidade mais baixa a obter | String | N/A | Sim | Gravidade mais baixa que vai ser usada para obter registos de ameaças. Valores possíveis: Informativo, Baixo, Médio, Alto, Crítico. |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | Número de horas a partir das quais obter registos. |
| Máximo de registos a obter | Número inteiro | 25 | Não | O número de registos a processar por iteração de um conetor. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista dinâmica é usada como uma lista de bloqueios. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, valide se o certificado SSL para a ligação ao servidor Palo Alto Networks Panorama é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras de conector
O conetor suporta proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.