Palo Alto AutoFocus
Version de l'intégration : 9.0
Configurer Palo Alto AutoFocus pour qu'il fonctionne avec Google Security Operations
Identifiants
Pour obtenir votre clé API personnelle, veuillez vous connecter à votre compte Palo Alto AutoFocus.
Remplissez les champs obligatoires et saisissez le code d'autorisation, puis sélectionnez Envoyer.
Sélectionnez l'action Activer dans Licences de site, puis sélectionnez le lien Clé API. Veuillez copier la clé API dans le presse-papiers. Elle sera utilisée ultérieurement dans la configuration de l'intégration à Google SecOps.
Réseau
| Fonction | Port par défaut | Direction | Protocole |
|---|---|---|---|
| API | Valeurs multiples | Sortant | apikey |
Configurer l'intégration de Palo Alto AutoFocus dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Domaine Hunt
Description
Recherchez un domaine et récupérez la liste des tags associés.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Nom d'hôte".
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes (True) si elles dépassent la limite. Sinon, la valeur est "false".
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| AutoFocus_Status | l'état de l'analyse. 0 : en cours d'exécution, 1 : terminée |
| AutoFocus_Percentage | Si l'analyse est terminée, la liste des résultats s'affiche. Sinon, le pourcentage de l'analyse est indiqué. |
| AutoFocus_Cookie | Cookie Hunt (pour récupérer des informations sur une analyse en cours). |
| visible | Renvoie la valeur si elle existe dans le résultat JSON. |
| id | Renvoie la valeur si elle existe dans le résultat JSON. |
| source | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
| Gravité | Description |
|---|---|
| Avertissement | Un insight d'avertissement est créé pour informer de l'état malveillant de l'entité enrichie. L'insight sera créé lorsque le nombre de moteurs détectés sera égal ou supérieur à la limite définie avant l'analyse. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[{
"EntityResult": [{
"visible": true,
"_id": "8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"_source": {
"malware": 1,
"sha1": "d2884e3655ce4ba167f0083054d2a9ed02669241",
"create_date": "2019-09-20T01:57:15",
"finish_date": "2019-09-20T02:03:48",
"imphash": "ca6f8d49909b618c106e9274d41caec8",
"filetype": "DLL64",
"ispublic": 1,
"tag": [],
"tag_groups": [],
"tasks": [{
"metadata_compilation_ts": "2019-09-20T07:31:06"
}],
"ssdeep": "3072:656zgKIvACBkQTQzhH6ejYF9aIRQkfGRLe0oaf:JtIvNTKhakYF9lRQKPaf",
"sha256":
"8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"region": ["us"],
"md5": "0e1e960c1de792f71b70eb8c8ab47a00",
"size": 131072
}}],
"Entity": "example.com"
}]
Fichier Hunt
Description
Recherchez un fichier et récupérez la liste des tags associés.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Filehash
- Nom de fichier
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes (True) si elles dépassent la limite. Sinon, la valeur est "false".
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| AutoFocus_Status | l'état de l'analyse. 0 : en cours d'exécution, 1 : terminée |
| AutoFocus_Percentage | Si l'analyse est terminée, la liste des résultats s'affiche. Sinon, le pourcentage de l'analyse est indiqué. |
| AutoFocus_Cookie | Cookie Hunt (pour récupérer des informations sur une analyse en cours). |
| visible | Renvoie la valeur si elle existe dans le résultat JSON. |
| id | Renvoie la valeur si elle existe dans le résultat JSON. |
| source | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
| Gravité | Description |
|---|---|
| Avertissement | Un insight d'avertissement est créé pour informer de l'état malveillant de l'entité enrichie. L'insight sera créé lorsque le nombre de moteurs détectés sera égal ou supérieur à la limite définie avant l'analyse. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "81bb895a833594013bc74b429fb1f24f9ec9df26"
}]
Rechercher une adresse IP
Description
Recherchez une adresse IP et récupérez la liste des tags associés.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité "Adresse IP".
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes (True) si elles dépassent la limite. Sinon, la valeur est "false".
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| AutoFocus_Status | l'état de l'analyse. 0 : en cours d'exécution, 1 : terminée |
| AutoFocus_Percentage | Si l'analyse est terminée, la liste des résultats s'affiche. Sinon, le pourcentage de l'analyse est indiqué. |
| AutoFocus_Cookie | Cookie Hunt (pour récupérer des informations sur une analyse en cours). |
| visible | Renvoie la valeur si elle existe dans le résultat JSON. |
| id | Renvoie la valeur si elle existe dans le résultat JSON. |
| source | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
| Gravité | Description |
|---|---|
| Avertissement | Un insight d'avertissement est créé pour informer de l'état malveillant de l'entité enrichie. L'insight sera créé lorsque le nombre de moteurs détectés sera égal ou supérieur à la limite définie avant l'analyse. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "95.179.168.51"
}]
URL de la chasse
Description
Recherchez une URL et récupérez la liste des tags associés.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur l'entité URL.
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes (True) si elles dépassent la limite. Sinon, la valeur est "false".
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| AutoFocus_Status | l'état de l'analyse. 0 : en cours d'exécution, 1 : terminée |
| AutoFocus_Percentage | Si l'analyse est terminée, la liste des résultats s'affiche. Sinon, le pourcentage de l'analyse est indiqué. |
| AutoFocus_Cookie | Cookie Hunt (pour récupérer des informations sur une analyse en cours). |
| visible | Renvoie la valeur si elle existe dans le résultat JSON. |
| id | Renvoie la valeur si elle existe dans le résultat JSON. |
| source | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
| Gravité | Description |
|---|---|
| Avertissement | Un insight d'avertissement est créé pour informer de l'état malveillant de l'entité enrichie. L'insight sera créé lorsque le nombre de moteurs détectés sera égal ou supérieur à la limite définie avant l'analyse. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "http://example.com"
}]
Ping
Description
Testez la connectivité à AutoFocus.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
N/A
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.