Collecter les journaux d'IOC Palo Alto Networks

Compatible avec:

Présentation

Cet analyseur extrait les données d'IOC à partir des journaux JSON Palo Alto Networks Autofocus, en mappant les champs sur l'UDM. Il gère les indicateurs de domaine, IPv4 et IPv6, en donnant la priorité au domaine et en convertissant les adresses IP au format approprié. Les types d'indicateurs non compatibles sont supprimés, et la catégorie par défaut est LOGICIEL MALIN, sauf si Cheval de Troie est spécifiquement identifié dans le message.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à Palo Alto AutoFocus.

Configurer la licence AutoFocus de Palo Alto

  1. Connectez-vous au portail d'assistance client de Palo Alto.
  2. Accédez à Éléments > Licences de site.
  3. Sélectionnez Ajouter une licence de site.
  4. Saisissez le code.

Obtenir la clé API Palo Alto AutoFocus

  1. Connectez-vous au portail d'assistance client de Palo Alto.
  2. Accédez à Éléments > Licences de site.
  3. Recherchez la licence Palo Alto AutoFocus.
  4. Cliquez sur Activer dans la colonne "Actions".
  5. Cliquez sur Clé API dans la colonne "Clé API".
  6. Copiez et enregistrez la clé API dans la barre supérieure.

Créer un flux personnalisé Palo Alto AutoFocus

  1. Connectez-vous à Palo Alto AutoFocus.
  2. Accédez à Flux.
  3. Sélectionnez un flux déjà créé. Si aucun flux n'est présent, créez-en un.
  4. Cliquez sur Ajouter Créer un flux.
  5. Indiquez un nom descriptif.
  6. Créez une requête.
  7. Sélectionnez URL comme méthode d'sortie.
  8. Cliquez sur Enregistrer.
  9. Accédez aux détails du flux :
    • Copiez et enregistrez le flux <ID> à partir de l'URL. (par exemple, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • Copiez et enregistrez le nom du flux.

Configurer un flux dans Google SecOps pour ingérer les journaux Palo Alto Autofocus

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux AutoFocus de Palo Alto).
  4. Sélectionnez API tierce comme type de source.
  5. Sélectionnez Autofocus panoramique comme Type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • En-tête HTTP d'authentification: clé API utilisée pour s'authentifier auprès d'autofocus.paloaltonetworks.com au format apiKey:<value>. Remplacez <value> par la clé API AutoFocus que vous avez copiée précédemment.
    • ID du flux: ID du flux personnalisé.
    • Nom du flux: nom du flux personnalisé.
    • Espace de noms des éléments: espace de noms des éléments.
    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
indicator.indicatorType indicator.indicatorType Mappé directement à partir du journal brut. Converti en majuscules.
indicator.indicatorValue event.ioc.domain_and_ports.domain Mappé si indicator.indicatorType est DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Mappé si indicator.indicatorType correspond à "IP(V4|V6|)(_ADDRESS|)". Converti au format d'adresse IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Mappé, le cas échéant. Converti en chaîne.
tags.0.description event.ioc.description Mappé si présent pour la première balise (index 0). Défini sur PAN Autofocus IOC par l'analyseur. Défini sur HIGH par l'analyseur. Définissez cette valeur sur TROJAN si le champ message contient Trojan, sinon sur MALWARE.

Modifications

2024-07-05

  • Mappage de isInteractive sur security_result.detection_fields.

2024-04-02

  • Mise en correspondance de properties.createdDateTime avec metadata.event_timestamp.
  • properties.resourceServicePrincipalId et resourceServicePrincipalId ont été mappés sur target.resource.attribute.labels.
  • Mappage de properties.authenticationProcessingDetails, authenticationProcessingDetails et properties.networkLocationDetails sur additional.fields.
  • Mappage de properties.userAgent sur network.http.user_agent et network.http.parsed_user_agent.
  • properties.authenticationRequirement a été mappé sur additional.fields.