Mengumpulkan log IOC Palo Alto Networks

Didukung di:

Ringkasan

Parser ini mengekstrak data IOC dari log JSON Autofocus Palo Alto Networks, yang memetakan kolom ke UDM. Fungsi ini menangani indikator domain, IPv4, dan IPv6, dengan memprioritaskan domain dan mengonversi alamat IP ke format yang sesuai. Jenis indikator yang tidak didukung akan dihapus dan kategorisasi defaultnya akan ditetapkan ke MALWARE, kecuali jika Trojan diidentifikasi secara khusus dalam pesan.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Palo Alto AutoFocus.

Mengonfigurasi lisensi Palo Alto AutoFocus

  1. Login ke Portal Dukungan Pelanggan Palo Alto.
  2. Buka Aset > Site Licenses.
  3. Pilih Tambahkan Lisensi Situs.
  4. Masukkan kode.

Mendapatkan Kunci API AutoFocus Palo Alto

  1. Login ke Portal Dukungan Pelanggan Palo Alto.
  2. Buka Aset > Site Licenses.
  3. Temukan lisensi Palo Alto AutoFocus.
  4. Klik Aktifkan di kolom Tindakan.
  5. Klik API Key di kolom API Key.
  6. Salin dan Simpan Kunci API dari panel atas.

Membuat Feed kustom Palo Alto AutoFocus

  1. Login ke Palo Alto AutoFocus.
  2. Buka Feed.
  3. Pilih feed yang sudah dibuat. Jika tidak ada feed, lanjutkan untuk membuatnya.
  4. Klik add Create A Feed.
  5. Berikan nama deskriptif.
  6. Buat kueri.
  7. Pilih metode Output sebagai URL.
  8. Klik Simpan.
  9. Akses detail feed:
    • Salin dan Simpan feed <ID> dari URL. (Misalnya, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • Salin dan Simpan nama feed.

Mengonfigurasi feed di Google SecOps untuk menyerap log Autofocus Palo Alto

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Palo Alto AutoFocus Logs).
  4. Pilih Third party API sebagai Source type.
  5. Pilih PAN Autofocus sebagai Log type.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • Header HTTP autentikasi: Kunci API yang digunakan untuk mengautentikasi ke autofocus.paloaltonetworks.com dalam format apiKey:<value>. Ganti <value> dengan Kunci API AutoFocus yang disalin sebelumnya.
    • ID feed: ID feed kustom.
    • Nama Feed: Nama feed kustom.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
indicator.indicatorType indicator.indicatorType Dipetakan langsung dari log mentah. Dikonversi ke huruf besar.
indicator.indicatorValue event.ioc.domain_and_ports.domain Dipetakan jika indicator.indicatorType adalah DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Dipetakan jika indicator.indicatorType cocok dengan "IP(V4|V6|)(_ADDRESS|)". Dikonversi ke format alamat IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Dipetakan jika ada. Dikonversi ke string.
tags.0.description event.ioc.description Dipetakan jika ada untuk tag pertama (indeks 0). Ditetapkan ke PAN Autofocus IOC oleh parser. Tetapkan ke TINGGI oleh parser. Tetapkan ke TROJAN jika kolom message berisi Trojan, jika tidak, tetapkan ke MALWARE.

Perubahan

2024-07-05

  • Memetakan isInteractive ke security_result.detection_fields.

2024-04-02

  • Memetakan properties.createdDateTime ke metadata.event_timestamp.
  • Memetakan properties.resourceServicePrincipalId dan resourceServicePrincipalId ke target.resource.attribute.labels.
  • Memetakan properties.authenticationProcessingDetails, authenticationProcessingDetails, dan properties.networkLocationDetails ke additional.fields.
  • Memetakan properties.userAgent ke network.http.user_agent dan network.http.parsed_user_agent.
  • Memetakan properties.authenticationRequirement ke additional.fields.