Palo Alto AutoFocus
Versión de integración: 9.0
Configurar Palo Alto AutoFocus para que funcione con Google Security Operations
Credenciales
Para obtener tu clave de API personal, inicia sesión en tu cuenta de Palo Alto AutoFocus.
Rellena los campos obligatorios y el código de autorización y, a continuación, selecciona Enviar.
Selecciona la acción Habilitar en Licencias de sitio y, a continuación, el enlace Clave de API. Copia la clave de API en el portapapeles, ya que la usarás más adelante en esta configuración de integración con Google SecOps.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Multivalores | Saliente | apikey |
Configurar la integración de Palo Alto AutoFocus en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Dominio de caza
Descripción
Busca un dominio y obtiene una lista de etiquetas asociadas.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el límite. En caso contrario, devuelve False.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| AutoFocus_Status | El estado del análisis. 0: en curso; 1: completada |
| AutoFocus_Percentage | Si el análisis se ha completado, se muestra una lista de coincidencias. De lo contrario, se muestra el porcentaje del análisis. |
| AutoFocus_Cookie | Cookie de Hunt (para obtener información sobre un análisis en curso). |
| visible | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| fuente | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una alerta para informar sobre el estado malicioso de la entidad enriquecida. La estadística se creará cuando el número de motores detectados sea igual o superior al límite establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"EntityResult": [{
"visible": true,
"_id": "8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"_source": {
"malware": 1,
"sha1": "d2884e3655ce4ba167f0083054d2a9ed02669241",
"create_date": "2019-09-20T01:57:15",
"finish_date": "2019-09-20T02:03:48",
"imphash": "ca6f8d49909b618c106e9274d41caec8",
"filetype": "DLL64",
"ispublic": 1,
"tag": [],
"tag_groups": [],
"tasks": [{
"metadata_compilation_ts": "2019-09-20T07:31:06"
}],
"ssdeep": "3072:656zgKIvACBkQTQzhH6ejYF9aIRQkfGRLe0oaf:JtIvNTKhakYF9lRQKPaf",
"sha256":
"8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"region": ["us"],
"md5": "0e1e960c1de792f71b70eb8c8ab47a00",
"size": 131072
}}],
"Entity": "example.com"
}]
Archivo de Hunt
Descripción
Buscar un archivo y obtener una lista de etiquetas asociadas.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Filehash
- Nombre del archivo
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el límite. En caso contrario, devuelve False.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| AutoFocus_Status | El estado del análisis. 0: en curso; 1: completada |
| AutoFocus_Percentage | Si el análisis se ha completado, se muestra una lista de coincidencias. De lo contrario, se muestra el porcentaje del análisis. |
| AutoFocus_Cookie | Cookie de Hunt (para obtener información sobre un análisis en curso). |
| visible | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| fuente | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una alerta para informar sobre el estado malicioso de la entidad enriquecida. La estadística se creará cuando el número de motores detectados sea igual o superior al límite establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "81bb895a833594013bc74b429fb1f24f9ec9df26"
}]
Hunt IP
Descripción
Busca una dirección IP y obtiene una lista de etiquetas asociadas.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el límite. En caso contrario, devuelve False.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| AutoFocus_Status | El estado del análisis. 0: en curso; 1: completada |
| AutoFocus_Percentage | Si se ha completado el análisis, se devuelve una lista de coincidencias. De lo contrario, se devuelve el porcentaje del análisis. |
| AutoFocus_Cookie | Cookie de Hunt (para obtener información sobre un análisis en curso). |
| visible | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| fuente | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una alerta para informar sobre el estado malicioso de la entidad enriquecida. La estadística se creará cuando el número de motores detectados sea igual o superior al límite establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "95.179.168.51"
}]
URL de búsqueda
Descripción
Busca una URL y obtiene una lista de etiquetas asociadas.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad URL.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el límite. En caso contrario, devuelve False.
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| AutoFocus_Status | El estado del análisis. 0: en curso; 1: completada |
| AutoFocus_Percentage | Si el análisis se ha completado, se muestra una lista de coincidencias. De lo contrario, se muestra el porcentaje del análisis. |
| AutoFocus_Cookie | Cookie de Hunt (para obtener información sobre un análisis en curso). |
| visible | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| fuente | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una alerta para informar sobre el estado malicioso de la entidad enriquecida. La estadística se creará cuando el número de motores detectados sea igual o superior al límite establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "http://example.com"
}]
Ping
Descripción
Prueba la conectividad con Enfoque automático.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
N/A
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.