Palo Alto AutoFocus
Versão da integração: 9.0
Configurar o Palo Alto AutoFocus para trabalhar com o Google Security Operations
Credenciais
Para receber sua chave de API pessoal, faça login na sua conta do Palo Alto AutoFocus.
Preencha os campos obrigatórios e o código de autorização e selecione Enviar.
Selecione a ação Ativar em Licenças do site e clique no link Chave de API. Copie a chave de API para a área de transferência. Ela será usada mais tarde nesta configuração de integração com o Google SecOps.
Rede
| Função | Porta padrão | Direção | Protocolo |
|---|---|---|---|
| API | Multivalores | Saída | apikey |
Configurar a integração do Palo Alto AutoFocus no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Domínio de caça
Descrição
Procura um domínio e recupera uma lista de tags associadas.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Hostname".
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (True)" se excederem o limite. Caso contrário, "False".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AutoFocus_Status | o estado da verificação. 0: em execução; 1: concluída |
| AutoFocus_Percentage | Se a verificação for concluída, a lista de hits. Caso contrário, a porcentagem da verificação. |
| AutoFocus_Cookie | Cookie do Hunt para buscar informações sobre uma verificação em andamento. |
| visível | Retorna se ele existe no resultado JSON. |
| ID | Retorna se ele existe no resultado JSON. |
| source | Retorna se ele existe no resultado JSON. |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso da entidade enriquecida. O insight será criado quando o número de mecanismos detectados for igual ou exceder o limite definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[{
"EntityResult": [{
"visible": true,
"_id": "8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"_source": {
"malware": 1,
"sha1": "d2884e3655ce4ba167f0083054d2a9ed02669241",
"create_date": "2019-09-20T01:57:15",
"finish_date": "2019-09-20T02:03:48",
"imphash": "ca6f8d49909b618c106e9274d41caec8",
"filetype": "DLL64",
"ispublic": 1,
"tag": [],
"tag_groups": [],
"tasks": [{
"metadata_compilation_ts": "2019-09-20T07:31:06"
}],
"ssdeep": "3072:656zgKIvACBkQTQzhH6ejYF9aIRQkfGRLe0oaf:JtIvNTKhakYF9lRQKPaf",
"sha256":
"8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"region": ["us"],
"md5": "0e1e960c1de792f71b70eb8c8ab47a00",
"size": 131072
}}],
"Entity": "example.com"
}]
Arquivo de identificação
Descrição
Procura um arquivo e recupera uma lista de tags associadas.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Filehash
- Nome do arquivo
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (True)" se excederem o limite. Caso contrário, "False".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AutoFocus_Status | o estado da verificação. 0: em execução; 1: concluída |
| AutoFocus_Percentage | Se a verificação for concluída, a lista de hits. Caso contrário, a porcentagem da verificação. |
| AutoFocus_Cookie | Cookie do Hunt para buscar informações sobre uma verificação em andamento. |
| visível | Retorna se ele existe no resultado JSON. |
| ID | Retorna se ele existe no resultado JSON. |
| source | Retorna se ele existe no resultado JSON. |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso da entidade enriquecida. O insight será criado quando o número de mecanismos detectados for igual ou exceder o limite definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "81bb895a833594013bc74b429fb1f24f9ec9df26"
}]
Caçar IP
Descrição
Procure um endereço IP e recupere uma lista de tags associadas.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (True)" se excederem o limite. Caso contrário, "False".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AutoFocus_Status | o estado da verificação. 0: em execução; 1: concluída |
| AutoFocus_Percentage | se a verificação for concluída, a lista de hits; caso contrário, a porcentagem da verificação |
| AutoFocus_Cookie | Cookie do Hunt para buscar informações sobre uma verificação em andamento. |
| visível | Retorna se ele existe no resultado JSON. |
| ID | Retorna se ele existe no resultado JSON. |
| source | Retorna se ele existe no resultado JSON. |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso da entidade enriquecida. O insight será criado quando o número de mecanismos detectados for igual ou exceder o limite definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "95.179.168.51"
}]
URL da busca
Descrição
Procura um URL e recupera uma lista de tags associadas.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (True)" se excederem o limite. Caso contrário, "False".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AutoFocus_Status | o estado da verificação. 0: em execução; 1: concluída |
| AutoFocus_Percentage | Se a verificação for concluída, a lista de hits. Caso contrário, a porcentagem da verificação. |
| AutoFocus_Cookie | Cookie do Hunt para buscar informações sobre uma verificação em andamento. |
| visível | Retorna se ele existe no resultado JSON. |
| ID | Retorna se ele existe no resultado JSON. |
| source | Retorna se ele existe no resultado JSON. |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso da entidade enriquecida. O insight será criado quando o número de mecanismos detectados for igual ou exceder o limite definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "http://example.com"
}]
Ping
Descrição
Teste a conectividade com o AutoFocus.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.