Palo Alto Networks IOC 로그 수집

다음에서 지원:

개요

이 파서는 Palo Alto Networks Autofocus JSON 로그에서 IOC 데이터를 추출하여 필드를 UDM에 매핑합니다. 도메인, IPv4, IPv6 표시기를 처리하고 도메인에 우선순위를 부여하며 IP 주소를 적절한 형식으로 변환합니다. 지원되지 않는 표시기 유형을 삭제하고 메시지에 트로이목마가 구체적으로 식별되지 않는 한 분류를 기본적으로 멀웨어로 설정합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Palo Alto AutoFocus에 대한 액세스 권한

Palo Alto AutoFocus 라이선스 구성

  1. Palo Alto 고객 지원 포털에 로그인합니다.
  2. 애셋 > 사이트 라이선스로 이동합니다.
  3. 사이트 라이선스 추가를 선택합니다.
  4. 코드를 입력합니다.

Palo Alto AutoFocus API 키 가져오기

  1. Palo Alto 고객 지원 포털에 로그인합니다.
  2. 애셋 > 사이트 라이선스로 이동합니다.
  3. Palo Alto AutoFocus 라이선스를 찾습니다.
  4. '작업' 열에서 사용 설정을 클릭합니다.
  5. API 키 열에서 API 키를 클릭합니다.
  6. 상단 표시줄에서 API 키를 복사하고 저장합니다.

Palo Alto AutoFocus 맞춤 피드 만들기

  1. Palo Alto AutoFocus에 로그인합니다.
  2. 피드로 이동합니다.
  3. 이미 만든 피드를 선택합니다. 피드가 없으면 피드를 만듭니다.
  4. 추가 피드 만들기를 클릭합니다.
  5. 설명이 포함된 이름을 지정합니다.
  6. 쿼리를 만듭니다.
  7. 출력 방법을 URL로 선택합니다.
  8. 저장을 클릭합니다.
  9. 피드 세부정보에 액세스합니다.
    • URL에서 피드 <ID>복사하고 저장합니다. (예: https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2)
    • 피드 이름을 복사하고 저장합니다.

피드 설정

피드를 구성하려면 다음 단계를 따르세요.

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다(예: Palo Alto Autofocus Logs).
  5. 소스 유형으로 서드 파티 API를 선택합니다.
  6. 로그 유형으로 PAN 자동 초점을 선택합니다.
  7. 다음을 클릭합니다.
  8. 다음 입력 파라미터의 값을 지정합니다.
    • 인증 HTTP 헤더: apiKey:<value> 형식으로 autofocus.paloaltonetworks.com에 인증하는 데 사용되는 API 키입니다. <value>를 앞에서 복사한 AutoFocus API 키로 바꿉니다.
    • 피드 ID: 맞춤 피드 ID입니다.
    • 피드 이름: 맞춤 피드 이름입니다.
  9. 다음을 클릭합니다.
  10. 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
indicator.indicatorType indicator.indicatorType 원시 로그에서 직접 매핑됩니다. 대문자로 변환되었습니다.
indicator.indicatorValue event.ioc.domain_and_ports.domain indicator.indicatorTypeDOMAIN인 경우 매핑됩니다.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address indicator.indicatorType이 'IP(V4|V6|)(_ADDRESS|)"와 일치하는 경우 매핑됩니다. IP 주소 형식으로 변환됩니다.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity 있는 경우 매핑됩니다. 문자열로 변환되었습니다.
tags.0.description event.ioc.description 첫 번째 태그 (색인 0)에 있는 경우 매핑됩니다. 파서에 의해 PAN Autofocus IOC로 설정됩니다. 파서에 의해 HIGH로 설정됩니다. message 필드에 트로이목마가 포함된 경우 TROJAN으로 설정하고, 그렇지 않은 경우 MALWARE로 설정합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.