Palo Alto AutoFocus
Integrationsversion: 9.0
Palo Alto AutoFocus für die Verwendung mit Google Security Operations konfigurieren
Anmeldedaten
Wenn Sie Ihren persönlichen API-Schlüssel erhalten möchten, melden Sie sich in Ihrem Palo Alto AutoFocus-Konto an.
Füllen Sie die Pflichtfelder und den Autorisierungscode aus und wählen Sie dann Senden aus.
Wählen Sie unter Sitelizenzen die Aktion Aktivieren und dann den Link API-Schlüssel aus. Kopieren Sie den API-Schlüssel in die Zwischenablage. Er wird später in dieser Integrationskonfiguration mit Google SecOps verwendet.
Netzwerk
| Funktion | Standardport | Richtung | Protokoll |
|---|---|---|---|
| API | Mehrfachwerte | Ausgehend | apikey |
Palo Alto AutoFocus-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Hunt-Domain
Beschreibung
Eine Domain suchen und eine Liste der zugehörigen Tags abrufen.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (True) markiert, wenn sie das Limit überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| AutoFocus_Status | Der Status des Scans. 0 – wird ausgeführt, 1 – abgeschlossen |
| AutoFocus_Percentage | Wenn der Scan abgeschlossen ist, wird eine Liste der Treffer angezeigt, andernfalls der Prozentsatz des Scans. |
| AutoFocus_Cookie | Hunt-Cookie (zum Abrufen von Informationen zu einem laufenden Scan). |
| sichtbar | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| source | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es soll eine Warnung erstellt werden, um über den schädlichen Status der angereicherten Einheit zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines dem vor dem Scan festgelegten Grenzwert entspricht oder ihn überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[{
"EntityResult": [{
"visible": true,
"_id": "8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"_source": {
"malware": 1,
"sha1": "d2884e3655ce4ba167f0083054d2a9ed02669241",
"create_date": "2019-09-20T01:57:15",
"finish_date": "2019-09-20T02:03:48",
"imphash": "ca6f8d49909b618c106e9274d41caec8",
"filetype": "DLL64",
"ispublic": 1,
"tag": [],
"tag_groups": [],
"tasks": [{
"metadata_compilation_ts": "2019-09-20T07:31:06"
}],
"ssdeep": "3072:656zgKIvACBkQTQzhH6ejYF9aIRQkfGRLe0oaf:JtIvNTKhakYF9lRQKPaf",
"sha256":
"8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"region": ["us"],
"md5": "0e1e960c1de792f71b70eb8c8ab47a00",
"size": 131072
}}],
"Entity": "example.com"
}]
Hunt-Datei
Beschreibung
Eine Datei suchen und eine Liste der zugehörigen Tags abrufen.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Filehash
- Dateiname
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (True) markiert, wenn sie das Limit überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| AutoFocus_Status | Der Status des Scans. 0 – wird ausgeführt, 1 – abgeschlossen |
| AutoFocus_Percentage | Wenn der Scan abgeschlossen ist, wird eine Liste der Treffer angezeigt, andernfalls der Prozentsatz des Scans. |
| AutoFocus_Cookie | Hunt-Cookie (zum Abrufen von Informationen zu einem laufenden Scan). |
| sichtbar | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| source | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es soll eine Warnung erstellt werden, um über den schädlichen Status der angereicherten Einheit zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines dem vor dem Scan festgelegten Grenzwert entspricht oder ihn überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "81bb895a833594013bc74b429fb1f24f9ec9df26"
}]
Hunt-IP
Beschreibung
Eine IP-Adresse suchen und eine Liste der zugehörigen Tags abrufen.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (True) markiert, wenn sie das Limit überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| AutoFocus_Status | Der Status des Scans. 0 – wird ausgeführt, 1 – abgeschlossen |
| AutoFocus_Percentage | Wenn der Scan abgeschlossen ist, wird eine Liste der Treffer angezeigt, andernfalls der Prozentsatz des Scans. |
| AutoFocus_Cookie | Hunt-Cookie (zum Abrufen von Informationen zu einem laufenden Scan). |
| sichtbar | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| source | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es soll eine Warnung erstellt werden, um über den schädlichen Status der angereicherten Einheit zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines dem vor dem Scan festgelegten Grenzwert entspricht oder ihn überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "95.179.168.51"
}]
Hunt-URL
Beschreibung
Eine URL suchen und eine Liste der zugehörigen Tags abrufen.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (True) markiert, wenn sie das Limit überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| AutoFocus_Status | Der Status des Scans. 0 – wird ausgeführt, 1 – abgeschlossen |
| AutoFocus_Percentage | Wenn der Scan abgeschlossen ist, wird eine Liste der Treffer angezeigt, andernfalls der Prozentsatz des Scans. |
| AutoFocus_Cookie | Hunt-Cookie (zum Abrufen von Informationen zu einem laufenden Scan). |
| sichtbar | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| source | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es soll eine Warnung erstellt werden, um über den schädlichen Status der angereicherten Einheit zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines dem vor dem Scan festgelegten Grenzwert entspricht oder ihn überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "http://example.com"
}]
Ping
Beschreibung
Verbindung zu AutoFocus testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
N/A
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten