Raccogliere i log degli indicatori di compromissione (IOC) di Palo Alto Networks

Supportato in:

Panoramica

Questo parser estrae i dati IOC dai log JSON di Palo Alto Networks Autofocus, mappando i campi all'UDM. Gestisce gli indicatori di dominio, IPv4 e IPv6, dando la priorità a domain e convertendo gli indirizzi IP nel formato appropriato. Elimina i tipi di indicatori non supportati e imposta la classificazione predefinita su MALWARE, a meno che nel messaggio non sia identificato specificamente Trojan.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso privilegiato a Palo Alto AutoFocus.

Configura la licenza Palo Alto AutoFocus

  1. Accedi al portale di assistenza clienti di Palo Alto.
  2. Vai ad Asset > Licenze dei siti.
  3. Seleziona Aggiungi licenza del sito.
  4. Inserisci il codice.

Ottieni la chiave API Palo Alto AutoFocus

  1. Accedi al portale di assistenza clienti di Palo Alto.
  2. Vai ad Asset > Licenze dei siti.
  3. Individua la licenza Palo Alto AutoFocus.
  4. Fai clic su Attiva nella colonna Azioni.
  5. Fai clic su Chiave API nella colonna Chiave API.
  6. Copia e salva la chiave API dalla barra in alto.

Creare un feed personalizzato Palo Alto AutoFocus

  1. Accedi a Palo Alto AutoFocus.
  2. Vai a Feed.
  3. Seleziona un feed già creato. Se non è presente alcun feed, procedi a crearne uno.
  4. Fai clic su Aggiungi Crea un feed.
  5. Fornisci un nome descrittivo.
  6. Crea una query.
  7. Seleziona il metodo di output come URL.
  8. Fai clic su Salva.
  9. Accedi ai dettagli del feed:
    • Copia e salva il feed <ID> dall'URL. (ad esempio https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • Copia e salva il nome del feed.

Configura un feed in Google SecOps per importare i log di Palo Alto Autofocus

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di Palo Alto AutoFocus).
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Pan Autofocus come Tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • Intestazione HTTP di autenticazione: chiave API utilizzata per autenticarsi su autofocus.paloaltonetworks.com in formato apiKey:<value>. Sostituisci <value> con la chiave API AutoFocus copiata in precedenza.
    • ID feed: ID feed personalizzato.
    • Nome del feed: il nome del feed personalizzato.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
indicator.indicatorType indicator.indicatorType Mappato direttamente dal log non elaborato. Convertito in maiuscolo.
indicator.indicatorValue event.ioc.domain_and_ports.domain Mappato se indicator.indicatorType è DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Mappato se indicator.indicatorType corrisponde a "IP(V4|V6|)(_ADDRESS|)". Convertito in formato indirizzo IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Mappato, se presente. Convertito in stringa.
tags.0.description event.ioc.description Mappato se presente per il primo tag (indice 0). Impostato su PAN Autofocus IOC dall'analizzatore. Impostato su HIGH dall'analizzatore. Imposta TROJAN se il campo message contiene Trojan, altrimenti imposta MALWARE.

Modifiche

2024-07-05

  • È stato mappato isInteractive a security_result.detection_fields.

2024-04-02

  • È stata mappata la proprietà properties.createdDateTime a metadata.event_timestamp.
  • properties.resourceServicePrincipalId e resourceServicePrincipalId sono stati mappati a target.resource.attribute.labels.
  • Sono stati mappati properties.authenticationProcessingDetails, authenticationProcessingDetails e properties.networkLocationDetails a additional.fields.
  • È stata eseguita la mappatura di properties.userAgent a network.http.user_agent e network.http.parsed_user_agent.
  • È stata mappata properties.authenticationRequirement a additional.fields.