Mengumpulkan log IOC Palo Alto Networks
Ringkasan
Parser ini mengekstrak data IOC dari log JSON Autofocus Palo Alto Networks, memetakan kolom ke UDM. Fitur ini menangani indikator domain, IPv4, dan IPv6, memprioritaskan domain, dan mengonversi alamat IP ke format yang sesuai. Fitur ini akan menghapus jenis indikator yang tidak didukung dan menetapkan kategorisasi default ke MALWARE kecuali jika Trojan secara khusus diidentifikasi dalam pesan.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps.
- Akses istimewa ke Palo Alto AutoFocus.
Mengonfigurasi lisensi Palo Alto AutoFocus
- Login ke Customer Support Portal Palo Alto.
- Buka Aset > Lisensi Situs.
- Pilih Tambahkan Lisensi Situs.
- Masukkan kode.
Mendapatkan Kunci API Palo Alto AutoFocus
- Login ke Customer Support Portal Palo Alto.
- Buka Aset > Lisensi Situs.
- Temukan lisensi Palo Alto AutoFocus.
- Klik Aktifkan di kolom Tindakan.
- Klik API Key di kolom API Key.
- Salin dan Simpan Kunci API dari panel atas.
Membuat Feed kustom Palo Alto AutoFocus
- Login ke Palo Alto AutoFocus.
- Buka Feed.
- Pilih feed yang sudah dibuat. Jika tidak ada feed, lanjutkan untuk membuatnya.
- Klik add Buat Feed.
- Berikan nama deskriptif.
- Buat kueri.
- Pilih metode Output sebagai URL.
- Klik Simpan.
- Akses detail feed:
- Salin dan Simpan feed
<ID>
dari URL. (Misalnya,https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2
) - Salin dan Simpan nama feed.
- Salin dan Simpan feed
Menyiapkan feed
Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Feed name, masukkan nama untuk feed; misalnya, Palo Alto Autofocus Logs.
- Pilih Third party API sebagai Source type.
- Pilih PAN Autofocus sebagai Log type.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- Header HTTP autentikasi: Kunci API yang digunakan untuk mengautentikasi ke autofocus.paloaltonetworks.com dalam format
apiKey:<value>
. Ganti<value>
dengan Kunci API AutoFocus yang disalin sebelumnya. - ID feed: ID feed kustom.
- Nama Feed: Nama feed kustom.
- Header HTTP autentikasi: Kunci API yang digunakan untuk mengautentikasi ke autofocus.paloaltonetworks.com dalam format
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
indicator.indicatorType |
indicator.indicatorType |
Dipetakan langsung dari log mentah. Dikonversi menjadi huruf besar. |
indicator.indicatorValue |
event.ioc.domain_and_ports.domain |
Dipetakan jika indicator.indicatorType adalah DOMAIN. |
indicator.indicatorValue |
event.ioc.ip_and_ports.ip_address |
Dipetakan jika indicator.indicatorType cocok dengan "IP(V4|V6|)(_ADDRESS|)". Dikonversi ke format alamat IP. |
indicator.wildfireRelatedSampleVerdictCounts.MALWARE |
event.ioc.raw_severity |
Dipetakan jika ada. Dikonversi ke string. |
tags.0.description |
event.ioc.description |
Dipetakan jika ada untuk tag pertama (indeks 0). Ditetapkan ke PAN Autofocus IOC oleh parser. Ditetapkan ke HIGH oleh parser. Disetel ke TROJAN jika kolom message berisi Trojan, atau disetel ke MALWARE. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.