收集 Palo Alto Networks IOC 日志

支持的平台:

概览

此解析器会从 Palo Alto Networks Autofocus JSON 日志中提取 IOC 数据,并将字段映射到 UDM。它会处理网域、IPv4 和 IPv6 指标,优先处理网域,并将 IP 地址转换为适当的格式。它会舍弃不受支持的指标类型,并将分类默认为恶意软件,除非邮件中明确标识了木马

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 Palo Alto AutoFocus 的特权访问权限。

配置 Palo Alto AutoFocus 许可

  1. 登录 Palo Alto 客户支持门户
  2. 依次前往素材资源 > 网站许可
  3. 选择添加网站许可
  4. 输入验证码。

获取 Palo Alto AutoFocus API 密钥

  1. 登录 Palo Alto 客户支持门户
  2. 依次前往素材资源 > 网站许可
  3. 找到 Palo Alto AutoFocus 许可。
  4. 点击“操作”列中的启用
  5. 点击“API 密钥”列中的 API 密钥
  6. 从顶部栏中复制保存 API 密钥。

创建 Palo Alto AutoFocus 自定义 Feed

  1. 登录 Palo Alto AutoFocus。
  2. 前往动态
  3. 选择一个已创建的 Feed。如果没有 Feed,请继续创建一个。
  4. 依次点击 添加 创建 Feed
  5. 提供一个描述性名称。
  6. 创建查询
  7. 输出方法选择为网址
  8. 点击保存
  9. 查看 Feed 详情:
    • 从网址中复制保存 Feed <ID>。(例如 https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2
    • 复制保存 Feed 名称。

在 Google SecOps 中配置 Feed 以注入 Palo Alto Autofocus 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称(例如 Palo Alto AutoFocus 日志)。
  4. 选择第三方 API 作为来源类型
  5. 选择 PAN Autofocus 作为日志类型
  6. 点击下一步
  7. 为以下输入参数指定值:
    • Authentication HTTP header:用于以 apiKey:<value> 格式向 autofocus.paloaltonetworks.com 进行身份验证的 API 密钥。将 <value> 替换为之前复制的 AutoFocus API 密钥。
    • Feed ID:自定义 Feed ID。
    • Feed 名称:自定义 Feed 名称。
    • 资源命名空间资源命名空间
    • 提取标签:应用于此 Feed 中的事件的标签。
  8. 点击下一步
  9. 最终确定界面中查看 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
indicator.indicatorType indicator.indicatorType 直接从原始日志映射。已转换为大写。
indicator.indicatorValue event.ioc.domain_and_ports.domain 如果 indicator.indicatorTypeDOMAIN,则已映射。
indicator.indicatorValue event.ioc.ip_and_ports.ip_address 如果 indicator.indicatorType 与“IP(V4|V6|)(_ADDRESS|)”匹配,则进行映射。转换为 IP 地址格式。
indicator.wildfireRelatedSampleVerdictCounts.MALWARE event.ioc.raw_severity 已映射(如果存在)。已转换为字符串。
tags.0.description event.ioc.description 已映射(如果存在)第一个标记(索引 0)。由解析器设置为 PAN Autofocus IOC。由解析器设置为 HIGH。如果 message 字段包含 Trojan,则设置为 TROJAN;否则,设置为 MALWARE

变化

2024-07-05

  • isInteractive 映射到 security_result.detection_fields

2024-04-02

  • properties.createdDateTime 映射到 metadata.event_timestamp
  • properties.resourceServicePrincipalIdresourceServicePrincipalId 映射到 target.resource.attribute.labels
  • properties.authenticationProcessingDetailsauthenticationProcessingDetailsproperties.networkLocationDetails 映射到 additional.fields
  • properties.userAgent 映射到 network.http.user_agentnetwork.http.parsed_user_agent
  • properties.authenticationRequirement 映射到 additional.fields