Palo Alto AutoFocus
集成版本:9.0
配置 Palo Alto AutoFocus 以与 Google Security Operations 搭配使用
凭据
如需获取个人 API 密钥,请登录您的 Palo Alto AutoFocus 账号。
填写必填字段和授权代码,然后选择提交。
在网站许可中选择启用操作,然后选择 API 密钥链接。请将 API 密钥复制到剪贴板,稍后将在 Google SecOps 的集成配置中使用该密钥。
网络
| 函数 | 默认端口 | 方向 | 协议 |
|---|---|---|---|
| API | 多值 | 出站 | apikey |
在 Google SecOps 中配置 Palo Alto AutoFocus 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
搜寻网域
说明
搜索网域并检索关联的标记列表。
参数
不适用
使用场景
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
如果实体数量超过上限,则标记为可疑 (True)。否则:False。
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| AutoFocus_Status | 扫描的状态。0 - 正在运行,1 - 已完成 |
| AutoFocus_Percentage | 如果扫描已完成,则为命中次数列表;否则为扫描百分比。 |
| AutoFocus_Cookie | Hunt 的 Cookie(用于提取有关正在运行的扫描的信息)。 |
| 显示 | 如果存在于 JSON 结果中,则返回。 |
| id | 如果存在于 JSON 结果中,则返回。 |
| 来源 | 如果存在于 JSON 结果中,则返回。 |
数据分析
| 严重程度 | 说明 |
|---|---|
| 警告 | 系统将创建警告数据分析,以告知富化实体的恶意状态。当检测到的引擎数量达到或超过扫描前设置的限制时,系统会创建分析数据。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[{
"EntityResult": [{
"visible": true,
"_id": "8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"_source": {
"malware": 1,
"sha1": "d2884e3655ce4ba167f0083054d2a9ed02669241",
"create_date": "2019-09-20T01:57:15",
"finish_date": "2019-09-20T02:03:48",
"imphash": "ca6f8d49909b618c106e9274d41caec8",
"filetype": "DLL64",
"ispublic": 1,
"tag": [],
"tag_groups": [],
"tasks": [{
"metadata_compilation_ts": "2019-09-20T07:31:06"
}],
"ssdeep": "3072:656zgKIvACBkQTQzhH6ejYF9aIRQkfGRLe0oaf:JtIvNTKhakYF9lRQKPaf",
"sha256":
"8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"region": ["us"],
"md5": "0e1e960c1de792f71b70eb8c8ab47a00",
"size": 131072
}}],
"Entity": "example.com"
}]
Hunt 文件
说明
搜索文件并检索关联的标记列表。
参数
不适用
使用场景
不适用
运行于
此操作适用于以下实体:
- Filehash
- 文件名
操作执行结果
实体扩充
如果实体数量超过上限,则标记为可疑 (True)。否则:False。
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| AutoFocus_Status | 扫描的状态。0 - 正在运行,1 - 已完成 |
| AutoFocus_Percentage | 如果扫描已完成,则为命中次数列表;否则为扫描百分比。 |
| AutoFocus_Cookie | Hunt 的 Cookie(用于提取有关正在运行的扫描的信息)。 |
| 显示 | 如果存在于 JSON 结果中,则返回。 |
| id | 如果存在于 JSON 结果中,则返回。 |
| 来源 | 如果存在于 JSON 结果中,则返回。 |
数据分析
| 严重程度 | 说明 |
|---|---|
| 警告 | 系统将创建警告数据分析,以告知富化实体的恶意状态。当检测到的引擎数量达到或超过扫描前设置的限制时,系统会创建分析数据。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "81bb895a833594013bc74b429fb1f24f9ec9df26"
}]
搜寻 IP
说明
搜索 IP 地址并检索关联的标记列表。
参数
不适用
使用场景
不适用
运行于
此操作在 IP 地址实体上运行。
操作执行结果
实体扩充
如果实体数量超过上限,则标记为可疑 (True)。否则:False。
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| AutoFocus_Status | 扫描的状态。0 - 正在运行,1 - 已完成 |
| AutoFocus_Percentage | 如果扫描已完成,则为命中列表;否则为扫描的百分比 |
| AutoFocus_Cookie | Hunt 的 Cookie(用于提取有关正在运行的扫描的信息)。 |
| 显示 | 如果存在于 JSON 结果中,则返回。 |
| id | 如果存在于 JSON 结果中,则返回。 |
| 来源 | 如果存在于 JSON 结果中,则返回。 |
数据分析
| 严重程度 | 说明 |
|---|---|
| 警告 | 系统将创建警告数据分析,以告知富化实体的恶意状态。当检测到的引擎数量达到或超过扫描前设置的限制时,系统会创建分析数据。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "95.179.168.51"
}]
搜索网址
说明
搜索网址并检索关联的标记列表。
参数
不适用
使用场景
不适用
运行于
此操作在网址实体上运行。
操作执行结果
实体扩充
如果实体数量超过上限,则标记为可疑 (True)。否则:False。
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| AutoFocus_Status | 扫描的状态。0 - 正在运行,1 - 已完成 |
| AutoFocus_Percentage | 如果扫描已完成,则为命中次数列表;否则为扫描百分比。 |
| AutoFocus_Cookie | Hunt 的 Cookie(用于提取有关正在运行的扫描的信息)。 |
| 显示 | 如果存在于 JSON 结果中,则返回。 |
| id | 如果存在于 JSON 结果中,则返回。 |
| 来源 | 如果存在于 JSON 结果中,则返回。 |
数据分析
| 严重程度 | 说明 |
|---|---|
| 警告 | 系统将创建警告数据分析,以告知富化实体的恶意状态。当检测到的引擎数量达到或超过扫描前设置的限制时,系统会创建分析数据。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "http://example.com"
}]
Ping
说明
测试与 AutoFocus 的连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
N/A
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。