Coletar registros de IOC da Palo Alto Networks
Visão geral
Esse analisador extrai dados de IOC dos registros JSON do Autofocus da Palo Alto Networks, mapeando campos para o UDM. Ele processa indicadores de domínio, IPv4 e IPv6, priorizando o domínio e convertendo endereços IP para o formato adequado. Ele descarta os tipos de indicadores não compatíveis e define a categorização padrão como MALWARE, a menos que Trojan seja identificado especificamente na mensagem.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem acesso privilegiado ao Palo Alto AutoFocus.
Configurar a licença do Palo Alto AutoFocus
- Faça login no Portal de suporte ao cliente da Palo Alto.
- Acesse Recursos > Licenças do site.
- Selecione Adicionar licença do site.
- Digite o código.
Receber a chave da API Palo Alto AutoFocus
- Faça login no Portal de suporte ao cliente da Palo Alto.
- Acesse Recursos > Licenças do site.
- Localize a licença do AutoFocus da Palo Alto.
- Clique em Ativar na coluna "Ações".
- Clique em Chave de API na coluna "Chave de API".
- Copie e salve a chave de API na barra de cima.
Criar um feed personalizado do Palo Alto AutoFocus
- Faça login no Palo Alto AutoFocus.
- Acesse Feeds.
- Selecione um feed já criado. Se não houver nenhum feed, crie um.
- Clique em adicionar Criar um feed.
- Dê um nome descritivo.
- Crie uma consulta.
- Selecione o método Saída como URL.
- Clique em Salvar.
- Acesse os detalhes do feed:
- Copie e salve o feed
<ID>
do URL. Por exemplo,https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2
. - Copie e salve o nome do feed.
- Copie e salve o feed
Configurar um feed no Google SecOps para processar os registros do Palo Alto Autofocus
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Palo Alto AutoFocus Logs).
- Selecione API de terceiros como o Tipo de origem.
- Selecione PAN Autofocus como o tipo de registro.
- Clique em Próxima.
- Especifique valores para os seguintes parâmetros de entrada:
- Cabeçalho HTTP de autenticação: chave de API usada para autenticação em autofocus.paloaltonetworks.com no formato
apiKey:<value>
. Substitua<value>
pela chave da API AutoFocus copiada anteriormente. - ID do feed: ID do feed personalizado.
- Nome do feed: nome do feed personalizado.
- Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
- Cabeçalho HTTP de autenticação: chave de API usada para autenticação em autofocus.paloaltonetworks.com no formato
- Clique em Próxima.
- Revise a configuração do feed na tela Finalizar e clique em Enviar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
indicator.indicatorType |
indicator.indicatorType |
Mapeado diretamente do registro bruto. Convertido em letras maiúsculas. |
indicator.indicatorValue |
event.ioc.domain_and_ports.domain |
Mapeado se indicator.indicatorType for DOMAIN. |
indicator.indicatorValue |
event.ioc.ip_and_ports.ip_address |
Mapeado se indicator.indicatorType corresponder a "IP(V4|V6|)(_ADDRESS|)". Conversão para o formato de endereço IP. |
indicator.wildfireRelatedSampleVerdictCounts.MALWARE |
event.ioc.raw_severity |
Mapeado, se presente. Convertido em string. |
tags.0.description |
event.ioc.description |
Mapeado se estiver presente para a primeira tag (índice 0). Definido como PAN Autofocus IOC pelo analisador. Definido como HIGH pelo analisador. Defina como TROJAN se o campo message contiver Trojan. Caso contrário, defina como MALWARE. |
Alterações
2024-07-05
- isInteractive foi mapeado para security_result.detection_fields.
2024-04-02
- Mapeamos properties.createdDateTime para metadata.event_timestamp.
- Mapeamos properties.resourceServicePrincipalId e resourceServicePrincipalId para target.resource.attribute.labels.
- Mapeou properties.authenticationProcessingDetails, authenticationProcessingDetails e properties.networkLocationDetails para additional.fields.
- Mapeamos properties.userAgent para network.http.user_agent e network.http.parsed_user_agent.
- Mapeamos properties.authenticationRequirement para additional.fields.