Palo Alto Networks IOC 로그 수집

다음에서 지원:

개요

이 파서는 Palo Alto Networks Autofocus JSON 로그에서 IOC 데이터를 추출하여 필드를 UDM에 매핑합니다. 도메인, IPv4, IPv6 표시기가 처리되며 도메인이 우선순위로 지정되고 IP 주소가 적절한 형식으로 변환됩니다. 지원되지 않는 표시기 유형을 삭제하고 메시지에서 트로이 목마가 구체적으로 식별되지 않는 한 기본 분류를 멀웨어로 지정합니다.

시작하기 전에

  • Google SecOps 인스턴스가 있는지 확인합니다.
  • Palo Alto AutoFocus에 대한 권한이 있는지 확인합니다.

Palo Alto AutoFocus 라이선스 구성

  1. Palo Alto 고객 지원 포털에 로그인합니다.
  2. 애셋 > 사이트 라이선스로 이동합니다.
  3. 사이트 라이선스 추가를 선택합니다.
  4. 코드를 입력합니다.

Palo Alto AutoFocus API 키 가져오기

  1. Palo Alto 고객 지원 포털에 로그인합니다.
  2. 애셋 > 사이트 라이선스로 이동합니다.
  3. Palo Alto AutoFocus 라이선스를 찾습니다.
  4. 작업 열에서 사용 설정을 클릭합니다.
  5. API 키 열에서 API 키를 클릭합니다.
  6. 상단 표시줄에서 API 키를 복사하고 저장합니다.

Palo Alto AutoFocus 맞춤 피드 만들기

  1. Palo Alto AutoFocus에 로그인합니다.
  2. 피드로 이동합니다.
  3. 이미 만든 피드를 선택합니다. 피드가 없으면 피드를 만듭니다.
  4. 추가 피드 만들기를 클릭합니다.
  5. 설명이 포함된 이름을 지정합니다.
  6. 검색어를 만듭니다.
  7. 출력 방법으로 URL을 선택합니다.
  8. 저장을 클릭합니다.
  9. 피드 세부정보에 액세스합니다.
    • URL에서 피드 <ID>복사하고 저장합니다. (예: https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • 피드 이름을 복사하고 저장합니다.

Palo Alto Autofocus 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다 (예: Palo Alto AutoFocus Logs).
  4. 소스 유형으로 서드 파티 API를 선택합니다.
  5. 로그 유형으로 PAN Autofocus를 선택합니다.
  6. 다음을 클릭합니다.
  7. 다음 입력 매개변수의 값을 지정합니다.
    • 인증 HTTP 헤더: autofocus.paloaltonetworks.com에 apiKey:<value> 형식으로 인증하는 데 사용되는 API 키입니다. <value>를 앞에서 복사한 AutoFocus API 키로 바꿉니다.
    • 피드 ID: 맞춤 피드 ID입니다.
    • 피드 이름: 맞춤 피드 이름입니다.
    • 애셋 네임스페이스: 애셋 네임스페이스입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
  8. 다음을 클릭합니다.
  9. 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
indicator.indicatorType indicator.indicatorType 원시 로그에서 직접 매핑됩니다. 대문자로 변환됩니다.
indicator.indicatorValue event.ioc.domain_and_ports.domain indicator.indicatorTypeDOMAIN인 경우 매핑됩니다.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address indicator.indicatorType가 'IP(V4|V6|)(_ADDRESS|)'과 일치하는 경우 매핑됩니다. IP 주소 형식으로 변환됩니다.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity 있는 경우 매핑됩니다. 문자열로 변환됩니다.
tags.0.description event.ioc.description 첫 번째 태그 (색인 0)에 있는 경우 매핑됩니다. 파서에 의해 PAN 자동 초점 IOC로 설정됩니다. 파서에 의해 HIGH로 설정됩니다. message 필드에 Trojan이 포함된 경우 TROJAN으로 설정하고, 그렇지 않으면 MALWARE로 설정합니다.

변경사항

2024-07-05

  • isInteractivesecurity_result.detection_fields에 매핑했습니다.

2024-04-02

  • properties.createdDateTimemetadata.event_timestamp에 매핑했습니다.
  • properties.resourceServicePrincipalIdresourceServicePrincipalIdtarget.resource.attribute.labels에 매핑되었습니다.
  • properties.authenticationProcessingDetails, authenticationProcessingDetails, properties.networkLocationDetailsadditional.fields에 매핑했습니다.
  • properties.userAgentnetwork.http.user_agentnetwork.http.parsed_user_agent에 매핑했습니다.
  • properties.authenticationRequirementadditional.fields에 매핑했습니다.