Recopila registros de IOC de Palo Alto Networks

Compatible con:

Descripción general

Este analizador extrae datos de IOC de los registros JSON de Autofocus de Palo Alto Networks y asigna campos a la UDM. Controla los indicadores de dominio, IPv4 e IPv6, prioriza el dominio y convierte las direcciones IP al formato adecuado. Elimina los tipos de indicadores no admitidos y establece la categorización predeterminada en MALWARE, a menos que se identifique específicamente Trojan en el mensaje.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a Palo Alto AutoFocus.

Configura la licencia de Palo Alto AutoFocus

  1. Accede al Portal de asistencia al cliente de Palo Alto.
  2. Ve a Recursos > Licencias del sitio.
  3. Selecciona Agregar licencia de sitio.
  4. Ingresa el código.

Obtén la clave de API de Palo Alto AutoFocus

  1. Accede al Portal de asistencia al cliente de Palo Alto.
  2. Ve a Recursos > Licencias del sitio.
  3. Busca la licencia de AutoFocus de Palo Alto.
  4. Haz clic en Habilitar en la columna Acciones.
  5. Haz clic en Clave de API en la columna Clave de API.
  6. Copia y guarda la clave de API desde la barra superior.

Crea un feed personalizado de Palo Alto AutoFocus

  1. Accede a Palo Alto AutoFocus.
  2. Ve a Feeds.
  3. Selecciona un feed que ya hayas creado. Si no hay ningún feed, crea uno.
  4. Haz clic en agregar Crear un feed.
  5. Proporciona un nombre descriptivo.
  6. Crea una consulta.
  7. Selecciona el método Resultado como URL.
  8. Haz clic en Guardar.
  9. Accede a los detalles del feed:
    • Copia y guarda el feed <ID> de la URL. (Por ejemplo, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2).
    • Copia y guarda el nombre del feed.

Configura un feed en Google SecOps para transferir los registros de Palo Alto Autofocus

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de AutoFocus de Palo Alto).
  4. Selecciona API de terceros como el Tipo de origen.
  5. Selecciona PAN Autofocus como el tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: Es la clave de API que se usa para autenticarse en autofocus.paloaltonetworks.com en formato apiKey:<value>. Reemplaza <value> por la clave de API de AutoFocus que copiaste antes.
    • ID del feed: Es el ID del feed personalizado.
    • Nombre del feed: Es el nombre del feed personalizado.
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
indicator.indicatorType indicator.indicatorType Se asignan directamente desde el registro sin formato. Se convierte en mayúsculas.
indicator.indicatorValue event.ioc.domain_and_ports.domain Se asigna si indicator.indicatorType es DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Se asigna si indicator.indicatorType coincide con "IP(V4|V6|)(_ADDRESS|)". Se convierte al formato de dirección IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Se asigna si está presente. Se convirtió en una cadena.
tags.0.description event.ioc.description Se asigna si está presente para la primera etiqueta (índice 0). El analizador lo establece en PAN Autofocus IOC. El analizador lo establece en HIGH. Establece el valor en TROJAN si el campo message contiene Trojan, de lo contrario, establece el valor en MALWARE.

Cambios

2024-07-05

  • Se asignó isInteractive a security_result.detection_fields.

2024-04-02

  • Se asignó properties.createdDateTime a metadata.event_timestamp.
  • Se asignaron properties.resourceServicePrincipalId y resourceServicePrincipalId a target.resource.attribute.labels.
  • Se asignaron properties.authenticationProcessingDetails, authenticationProcessingDetails y properties.networkLocationDetails a additional.fields.
  • Se asignó properties.userAgent a network.http.user_agent y network.http.parsed_user_agent.
  • Se asignó properties.authenticationRequirement a additional.fields.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.