Palo Alto Networks-IOC-Protokolle erfassen

Übersicht

Dieser Parser extrahiert IOC-Daten aus Palo Alto Networks Autofocus-JSON-Logs und ordnet Felder dem UDM zu. Es verarbeitet Domain-, IPv4- und IPv6-Indikatoren, wobei domain priorisiert und IP-Adressen in das richtige Format konvertiert werden. Nicht unterstützte Indikatortypen werden entfernt und die Kategorisierung wird standardmäßig auf MALWARE gesetzt, es sei denn, Trojaner wird in der Nachricht ausdrücklich angegeben.

Hinweise

• Sie benötigen eine Google SecOps-Instanz.
• Sie benötigen Berechtigungen für den Zugriff auf Palo Alto AutoFocus.

Palo Alto AutoFocus-Lizenz konfigurieren

1. Melden Sie sich im Kundensupportportal von Palo Alto an.
2. Gehen Sie zu Assets > Websitelizenzen.
3. Wählen Sie Websitelizenz hinzufügen aus.
4. Geben Sie den Code ein.

Palo Alto AutoFocus API-Schlüssel abrufen

1. Melden Sie sich im Kundensupport-Portal von Palo Alto an.
2. Gehen Sie zu Assets > Websitelizenzen.
3. Suchen Sie die Palo Alto AutoFocus-Lizenz.
4. Klicken Sie in der Spalte „Aktionen“ auf Aktivieren.
5. Klicken Sie in der Spalte „API-Schlüssel“ auf API-Schlüssel.
6. Kopieren und speichern Sie den API-Schlüssel in der oberen Leiste.

Benutzerdefinierten Feed für Palo Alto AutoFocus erstellen

1. Melden Sie sich in Palo Alto AutoFocus an.
2. Gehen Sie zu Feeds.
3. Wählen Sie einen bereits erstellten Feed aus. Wenn kein Feed vorhanden ist, erstellen Sie einen.
4. Klicken Sie auf Hinzufügen Feed erstellen.
5. Geben Sie einen aussagekräftigen Namen an.
6. Erstellen Sie eine Abfrage.
7. Wählen Sie als URL die Methode Output aus.
8. Klicken Sie auf Speichern.
9. So greifen Sie auf die Feeddetails zu:
   • Kopieren und speichern Sie den Feed <ID> aus der URL. (Zum Beispiel https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
   • Kopieren und speichern Sie den Feednamen.

Feed in Google SecOps für die Aufnahme der Palo Alto Autofocus-Protokolle konfigurieren

1. Gehen Sie zu SIEM-Einstellungen > Feeds.
2. Klicken Sie auf Neu hinzufügen.
3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Palo Alto AutoFocus-Protokolle.
4. Wählen Sie API eines Drittanbieters als Quelltyp aus.
5. Wählen Sie PAN-Autofokus als Logtyp aus.
6. Klicken Sie auf Weiter.
7. Geben Sie Werte für die folgenden Eingabeparameter an:
   • HTTP-Authentifizierungsheader: API-Schlüssel, der zum Authentifizieren bei autofocus.paloaltonetworks.com im apiKey:<value>-Format verwendet wird. Ersetzen Sie <value> durch den zuvor kopierten AutoFocus API-Schlüssel.
   • Feed-ID: Benutzerdefinierte Feed-ID.
   • Feedname: Name des benutzerdefinierten Feeds.
   • Asset-Namespace: der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
8. Klicken Sie auf Weiter.
9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Änderungen

2024-07-05

• isInteractive wurde security_result.detection_fields zugeordnet.

2024-04-02

• properties.createdDateTime wurde metadata.event_timestamp zugeordnet.
• properties.resourceServicePrincipalId und resourceServicePrincipalId wurden target.resource.attribute.labels zugeordnet.
• properties.authenticationProcessingDetails, authenticationProcessingDetails und properties.networkLocationDetails wurden additional.fields zugeordnet.
• properties.userAgent wurde auf network.http.user_agent und network.http.parsed_user_agent umgestellt.
• properties.authenticationRequirement wurde additional.fields zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten