Palo Alto AutoFocus
Versão da integração: 9.0
Configure o Palo Alto AutoFocus para funcionar com o Google Security Operations
Credenciais
Para obter a sua chave da API pessoal, inicie sessão na sua conta do Palo Alto AutoFocus.
Preencha os campos obrigatórios e o código de autorização e, de seguida, selecione Enviar.
Selecione a ação Ativar em Licenças de sites e, de seguida, selecione o link Chave da API. Copie a chave da API para a área de transferência, que será usada posteriormente nesta configuração de integração com o Google SecOps.
Rede
| Função | Porta predefinida | Direção | Protocolo |
|---|---|---|---|
| API | Vários valores | De saída | apikey |
Configure a integração do Palo Alto AutoFocus no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Domínio de caça
Descrição
Procure um domínio e obtenha uma lista de etiquetas associadas.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade Hostname.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como Suspicious (True) se excederem o limite. Caso contrário: falso.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AutoFocus_Status | O estado da análise. 0: em execução, 1: concluído |
| AutoFocus_Percentage | Se a análise estiver concluída, é apresentada uma lista de resultados. Caso contrário, é apresentado o percentual da análise. |
| AutoFocus_Cookie | Cookie da Hunt (para obter informações sobre uma análise em execução). |
| visível | Devolve se existir no resultado JSON. |
| id | Devolve se existir no resultado JSON. |
| fonte | Devolve se existir no resultado JSON. |
Estatísticas
| Gravidade | Descrição |
|---|---|
| Avisar | É criado um insight de aviso para informar sobre o estado malicioso da entidade enriquecida. A estatística é criada quando o número de motores detetados é igual ou superior ao limite definido antes da análise. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[{
"EntityResult": [{
"visible": true,
"_id": "8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"_source": {
"malware": 1,
"sha1": "d2884e3655ce4ba167f0083054d2a9ed02669241",
"create_date": "2019-09-20T01:57:15",
"finish_date": "2019-09-20T02:03:48",
"imphash": "ca6f8d49909b618c106e9274d41caec8",
"filetype": "DLL64",
"ispublic": 1,
"tag": [],
"tag_groups": [],
"tasks": [{
"metadata_compilation_ts": "2019-09-20T07:31:06"
}],
"ssdeep": "3072:656zgKIvACBkQTQzhH6ejYF9aIRQkfGRLe0oaf:JtIvNTKhakYF9lRQKPaf",
"sha256":
"8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"region": ["us"],
"md5": "0e1e960c1de792f71b70eb8c8ab47a00",
"size": 131072
}}],
"Entity": "example.com"
}]
Ficheiro de caça
Descrição
Procurar um ficheiro e obter uma lista de etiquetas associadas.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Filehash
- Nome do ficheiro
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como Suspicious (True) se excederem o limite. Caso contrário: falso.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AutoFocus_Status | O estado da análise. 0: em execução, 1: concluído |
| AutoFocus_Percentage | Se a análise estiver concluída, é apresentada uma lista de resultados. Caso contrário, é apresentado o percentual da análise. |
| AutoFocus_Cookie | Cookie da Hunt (para obter informações sobre uma análise em execução). |
| visível | Devolve se existir no resultado JSON. |
| id | Devolve se existir no resultado JSON. |
| fonte | Devolve se existir no resultado JSON. |
Estatísticas
| Gravidade | Descrição |
|---|---|
| Avisar | É criado um insight de aviso para informar sobre o estado malicioso da entidade enriquecida. A estatística é criada quando o número de motores detetados é igual ou superior ao limite definido antes da análise. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "81bb895a833594013bc74b429fb1f24f9ec9df26"
}]
IP de investigação
Descrição
Procure um endereço IP e obtenha uma lista de etiquetas associadas.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade de endereço IP.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como Suspicious (True) se excederem o limite. Caso contrário: falso.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AutoFocus_Status | O estado da análise. 0: em execução, 1: concluído |
| AutoFocus_Percentage | Se a análise estiver concluída, a lista de resultados. Caso contrário, a percentagem da análise |
| AutoFocus_Cookie | Cookie da Hunt (para obter informações sobre uma análise em execução). |
| visível | Devolve se existir no resultado JSON. |
| id | Devolve se existir no resultado JSON. |
| fonte | Devolve se existir no resultado JSON. |
Estatísticas
| Gravidade | Descrição |
|---|---|
| Avisar | É criado um insight de aviso para informar sobre o estado malicioso da entidade enriquecida. A estatística é criada quando o número de motores detetados é igual ou superior ao limite definido antes da análise. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "95.179.168.51"
}]
URL de procura
Descrição
Procure um URL e obtenha uma lista de etiquetas associadas.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade URL.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como Suspicious (True) se excederem o limite. Caso contrário: falso.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AutoFocus_Status | O estado da análise. 0: em execução, 1: concluído |
| AutoFocus_Percentage | Se a análise estiver concluída, é apresentada uma lista de resultados. Caso contrário, é apresentado o percentual da análise. |
| AutoFocus_Cookie | Cookie da Hunt (para obter informações sobre uma análise em execução). |
| visível | Devolve se existir no resultado JSON. |
| id | Devolve se existir no resultado JSON. |
| fonte | Devolve se existir no resultado JSON. |
Estatísticas
| Gravidade | Descrição |
|---|---|
| Avisar | É criado um insight de aviso para informar sobre o estado malicioso da entidade enriquecida. A estatística é criada quando o número de motores detetados é igual ou superior ao limite definido antes da análise. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "http://example.com"
}]
Tchim-tchim
Descrição
Teste a conetividade ao AutoFocus.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.