Palo Alto AutoFocus
Versión de integración: 9.0
Configura Palo Alto AutoFocus para que funcione con Google Security Operations
Credenciales
Para obtener tu clave de API personal, accede a tu cuenta de Palo Alto AutoFocus.
Completa los campos obligatorios y el código de autorización, y, luego, selecciona Enviar.
Selecciona la acción Habilitar en Licencias del sitio y, luego, selecciona el vínculo Clave de API. Copia la clave de API en el portapapeles, que se usará más adelante en esta configuración de integración con Google SecOps.
Red
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Valores múltiples | Saliente | apikey |
Configura la integración de Palo Alto AutoFocus en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Dominio de búsqueda
Descripción
Busca un dominio y recupera una lista de etiquetas asociadas.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el límite. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| AutoFocus_Status | el estado del análisis. 0: En ejecución; 1: Completado |
| AutoFocus_Percentage | Si se completó el análisis, se muestra la lista de coincidencias. De lo contrario, se muestra el porcentaje del análisis. |
| AutoFocus_Cookie | Cookie de Hunt (para recuperar información sobre un análisis en ejecución). |
| visible | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| source | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso de la entidad enriquecida. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al límite establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"EntityResult": [{
"visible": true,
"_id": "8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"_source": {
"malware": 1,
"sha1": "d2884e3655ce4ba167f0083054d2a9ed02669241",
"create_date": "2019-09-20T01:57:15",
"finish_date": "2019-09-20T02:03:48",
"imphash": "ca6f8d49909b618c106e9274d41caec8",
"filetype": "DLL64",
"ispublic": 1,
"tag": [],
"tag_groups": [],
"tasks": [{
"metadata_compilation_ts": "2019-09-20T07:31:06"
}],
"ssdeep": "3072:656zgKIvACBkQTQzhH6ejYF9aIRQkfGRLe0oaf:JtIvNTKhakYF9lRQKPaf",
"sha256":
"8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"region": ["us"],
"md5": "0e1e960c1de792f71b70eb8c8ab47a00",
"size": 131072
}}],
"Entity": "example.com"
}]
Archivo de Hunt
Descripción
Busca un archivo y recupera una lista de etiquetas asociadas.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Filehash
- Nombre del archivo
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el límite. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| AutoFocus_Status | el estado del análisis. 0: En ejecución; 1: Completado |
| AutoFocus_Percentage | Si se completó el análisis, se muestra la lista de coincidencias. De lo contrario, se muestra el porcentaje del análisis. |
| AutoFocus_Cookie | Cookie de Hunt (para recuperar información sobre un análisis en ejecución). |
| visible | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| source | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso de la entidad enriquecida. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al límite establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "81bb895a833594013bc74b429fb1f24f9ec9df26"
}]
IP de búsqueda
Descripción
Busca una dirección IP y recupera una lista de etiquetas asociadas.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el límite. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| AutoFocus_Status | el estado del análisis. 0: En ejecución; 1: Completado |
| AutoFocus_Percentage | Si se completó el análisis, se muestra la lista de coincidencias; de lo contrario, se muestra el porcentaje del análisis. |
| AutoFocus_Cookie | Cookie de Hunt (para recuperar información sobre un análisis en ejecución). |
| visible | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| source | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso de la entidad enriquecida. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al límite establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "95.179.168.51"
}]
URL de la búsqueda
Descripción
Busca una URL y recupera una lista de etiquetas asociadas.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el límite. De lo contrario, es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| AutoFocus_Status | el estado del análisis. 0: En ejecución; 1: Completado |
| AutoFocus_Percentage | Si se completó el análisis, se muestra la lista de coincidencias. De lo contrario, se muestra el porcentaje del análisis. |
| AutoFocus_Cookie | Cookie de Hunt (para recuperar información sobre un análisis en ejecución). |
| visible | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| source | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso de la entidad enriquecida. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al límite establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "http://example.com"
}]
Ping
Descripción
Prueba la conectividad a AutoFocus.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
N/A
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.