Coletar registros de IOC da Palo Alto Networks

Compatível com:

Visão geral

Esse analisador extrai dados de IOC dos registros JSON do Autofocus da Palo Alto Networks, mapeando campos para o UDM. Ele processa indicadores de domínio, IPv4 e IPv6, priorizando o domínio e convertendo endereços IP para o formato adequado. Ele descarta os tipos de indicadores não compatíveis e define a categorização padrão como MALWARE, a menos que Trojan seja identificado especificamente na mensagem.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao Palo Alto AutoFocus.

Configurar a licença do Palo Alto AutoFocus

  1. Faça login no Portal de suporte ao cliente da Palo Alto.
  2. Acesse Recursos > Licenças do site.
  3. Selecione Adicionar licença do site.
  4. Digite o código.

Receber a chave da API Palo Alto AutoFocus

  1. Faça login no Portal de suporte ao cliente da Palo Alto.
  2. Acesse Recursos > Licenças do site.
  3. Localize a licença do AutoFocus da Palo Alto.
  4. Clique em Ativar na coluna "Ações".
  5. Clique em Chave de API na coluna "Chave de API".
  6. Copie e salve a chave de API na barra de cima.

Criar um feed personalizado do Palo Alto AutoFocus

  1. Faça login no Palo Alto AutoFocus.
  2. Acesse Feeds.
  3. Selecione um feed já criado. Se não houver nenhum feed, crie um.
  4. Clique em adicionar Criar um feed.
  5. Dê um nome descritivo.
  6. Crie uma consulta.
  7. Selecione o método Saída como URL.
  8. Clique em Salvar.
  9. Acesse os detalhes do feed:
    • Copie e salve o feed <ID> do URL. Por exemplo, https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2.
    • Copie e salve o nome do feed.

Configurar um feed no Google SecOps para processar os registros do Palo Alto Autofocus

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Palo Alto AutoFocus Logs).
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione PAN Autofocus como o tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação: chave de API usada para autenticação em autofocus.paloaltonetworks.com no formato apiKey:<value>. Substitua <value> pela chave da API AutoFocus copiada anteriormente.
    • ID do feed: ID do feed personalizado.
    • Nome do feed: nome do feed personalizado.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
indicator.indicatorType indicator.indicatorType Mapeado diretamente do registro bruto. Convertido em letras maiúsculas.
indicator.indicatorValue event.ioc.domain_and_ports.domain Mapeado se indicator.indicatorType for DOMAIN.
indicator.indicatorValue event.ioc.ip_and_ports.ip_address Mapeado se indicator.indicatorType corresponder a "IP(V4|V6|)(_ADDRESS|)". Conversão para o formato de endereço IP.
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity Mapeado, se presente. Convertido em string.
tags.0.description event.ioc.description Mapeado se estiver presente para a primeira tag (índice 0). Definido como PAN Autofocus IOC pelo analisador. Definido como HIGH pelo analisador. Defina como TROJAN se o campo message contiver Trojan. Caso contrário, defina como MALWARE.

Alterações

2024-07-05

  • isInteractive foi mapeado para security_result.detection_fields.

2024-04-02

  • Mapeamos properties.createdDateTime para metadata.event_timestamp.
  • Mapeamos properties.resourceServicePrincipalId e resourceServicePrincipalId para target.resource.attribute.labels.
  • Mapeou properties.authenticationProcessingDetails, authenticationProcessingDetails e properties.networkLocationDetails para additional.fields.
  • Mapeamos properties.userAgent para network.http.user_agent e network.http.parsed_user_agent.
  • Mapeamos properties.authenticationRequirement para additional.fields.