Palo Alto Networks IOC ログを収集する
以下でサポートされています。
Google SecOpsSIEM
概要
このパーサーは、Palo Alto Networks Autofocus JSON ログから IOC データを抽出し、フィールドを UDM にマッピングします。ドメイン、IPv4、IPv6 のインジケーターを処理し、ドメインを優先して IP アドレスを適切な形式に変換します。サポートされていないインジケータ タイプは除外され、メッセージでトロイの木馬が明示的に特定されていない限り、デフォルトでマルウェアに分類されます。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Palo Alto AutoFocus に対する特権アクセス権があることを確認します。
Palo Alto AutoFocus ライセンスを構成する
- Palo Alto のカスタマー サポート ポータルにログインします。
- [アセット] > [サイト ライセンス] に移動します。
- [サイト ライセンスを追加] を選択します。
- コードの入力します。
Palo Alto AutoFocus API キーを取得する
- Palo Alto のカスタマー サポート ポータルにログインします。
- [アセット] > [サイト ライセンス] に移動します。
- Palo Alto AutoFocus ライセンスを確認します。
- [アクション] 列の [有効にする] をクリックします。
- [API キー] 列の [API キー] をクリックします。
- 上部のバーから API キーをコピーして保存します。
Palo Alto AutoFocus カスタム フィードを作成する
- Palo Alto AutoFocus にログインします。
- [フィード] に移動します。
- 作成済みのフィードを選択します。フィードがない場合は、フィードの作成に進みます。
- [ 追加 ] [フィードを作成] をクリックします。
- わかりやすい名前を付けます。
- クエリを作成します。
- [出力] 方法として [URL] を選択します。
- [保存] をクリックします。
- フィードの詳細にアクセスします。
- URL からフィード
<ID>をコピーして保存します。(例:https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2) - フィード名をコピーして保存します。
- URL からフィード
Palo Alto Autofocus のログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Palo Alto AutoFocus Logs)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [Log type] で [PAN Autofocus] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- 認証 HTTP ヘッダー: autofocus.paloaltonetworks.com の認証に使用される API キー(
apiKey:<value>形式)。<value>は、先ほどコピーした AutoFocus API キーに置き換えます。 - フィード ID: カスタム フィード ID。
- フィード名: カスタム フィードの名前。
- アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
- 認証 HTTP ヘッダー: autofocus.paloaltonetworks.com の認証に使用される API キー(
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
indicator.indicatorType |
indicator.indicatorType |
未加工のログから直接マッピングされます。大文字に変換されます。 |
indicator.indicatorValue |
event.ioc.domain_and_ports.domain |
indicator.indicatorType が ドメインの場合にマッピングされます。 |
indicator.indicatorValue |
event.ioc.ip_and_ports.ip_address |
indicator.indicatorType が「IP(V4|V6|)(_ADDRESS|)」と一致する場合にマッピングされます。IP アドレス形式に変換されます。 |
indicator.wildfireRelatedSampleVerdictCounts.MALWARE |
event.ioc.raw_severity |
マッピングされている場合。文字列に変換されます。 |
tags.0.description |
event.ioc.description |
最初のタグ(インデックス 0)に存在する場合はマッピングされます。パーサーによって PAN Autofocus IOC に設定されます。パーサーによって HIGH に設定されます。message フィールドに Trojan が含まれている場合は TROJAN に設定し、それ以外の場合は MALWARE に設定します。 |
変更点
2024-07-05
- isInteractive を security_result.detection_fields にマッピングしました。
2024-04-02
- properties.createdDateTime を metadata.event_timestamp にマッピングしました。
- properties.resourceServicePrincipalId と resourceServicePrincipalId を target.resource.attribute.labels にマッピングしました。
- properties.authenticationProcessingDetails、authenticationProcessingDetails、properties.networkLocationDetails を additional.fields にマッピングしました。
- properties.userAgent を network.http.user_agent と network.http.parsed_user_agent にマッピングしました。
- properties.authenticationRequirement を additional.fields にマッピングしました。