Palo Alto AutoFocus
整合版本:9.0
設定 Palo Alto AutoFocus,以便與 Google Security Operations 搭配使用
憑證
如要取得個人 API 金鑰,請登入 Palo Alto AutoFocus 帳戶。
填寫必填欄位和授權碼,然後選取「提交」。
在「網站授權」中選取「啟用」動作,然後選取「API 金鑰」連結。請複製 API 金鑰到剪貼簿,稍後會用於設定與 Google SecOps 的整合。
網路
| 函式 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| API | 多個值 | 傳出 | apikey |
在 Google SecOps 中設定 Palo Alto AutoFocus 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
搜尋網域
說明
搜尋網域並擷取相關聯的代碼清單。
參數
不適用
用途
不適用
執行時間
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
如果實體超過限制,系統會標示為可疑 (True)。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| AutoFocus_Status | 掃描狀態。0 - 執行中,1 - 已完成 |
| AutoFocus_Percentage | 如果掃描完成,則會顯示相符項目清單;否則會顯示掃描百分比。 |
| AutoFocus_Cookie | Hunt 的 Cookie (用於擷取執行中掃描作業的相關資訊)。 |
| 顯示 | 如果 JSON 結果中存在該值,則傳回該值。 |
| id | 如果 JSON 結果中存在該值,則傳回該值。 |
| 來源 | 如果 JSON 結果中存在該值,則傳回該值。 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告洞察資訊,通知您擴充實體的惡意狀態。當偵測到的引擎數量達到或超過掃描前設定的限制時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
[{
"EntityResult": [{
"visible": true,
"_id": "8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"_source": {
"malware": 1,
"sha1": "d2884e3655ce4ba167f0083054d2a9ed02669241",
"create_date": "2019-09-20T01:57:15",
"finish_date": "2019-09-20T02:03:48",
"imphash": "ca6f8d49909b618c106e9274d41caec8",
"filetype": "DLL64",
"ispublic": 1,
"tag": [],
"tag_groups": [],
"tasks": [{
"metadata_compilation_ts": "2019-09-20T07:31:06"
}],
"ssdeep": "3072:656zgKIvACBkQTQzhH6ejYF9aIRQkfGRLe0oaf:JtIvNTKhakYF9lRQKPaf",
"sha256":
"8002b33fdf1caec503a25ee39297005e84c6af169df65d8be82e2465baa9b2b0",
"region": ["us"],
"md5": "0e1e960c1de792f71b70eb8c8ab47a00",
"size": 131072
}}],
"Entity": "example.com"
}]
Hunt File
說明
搜尋檔案並擷取相關聯的標記清單。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- Filehash
- 檔案名稱
動作執行結果
實體擴充
如果實體超過限制,系統會標示為可疑 (True)。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| AutoFocus_Status | 掃描狀態。0 - 執行中,1 - 已完成 |
| AutoFocus_Percentage | 如果掃描完成,則會顯示相符項目清單;否則會顯示掃描百分比。 |
| AutoFocus_Cookie | Hunt 的 Cookie (用於擷取執行中掃描作業的相關資訊)。 |
| 顯示 | 如果 JSON 結果中存在該值,則傳回該值。 |
| id | 如果 JSON 結果中存在該值,則傳回該值。 |
| 來源 | 如果 JSON 結果中存在該值,則傳回該值。 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告洞察資訊,通知您擴充實體的惡意狀態。當偵測到的引擎數量達到或超過掃描前設定的限制時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "81bb895a833594013bc74b429fb1f24f9ec9df26"
}]
搜尋 IP
說明
搜尋 IP 位址並擷取相關聯的標記清單。
參數
不適用
用途
不適用
執行時間
這項操作會對 IP 位址實體執行。
動作執行結果
實體擴充
如果實體超過限制,系統會標示為可疑 (True)。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| AutoFocus_Status | 掃描狀態。0 - 執行中,1 - 已完成 |
| AutoFocus_Percentage | 如果掃描完成,則為命中次數清單;否則為掃描百分比 |
| AutoFocus_Cookie | Hunt 的 Cookie (用於擷取執行中掃描作業的相關資訊)。 |
| 顯示 | 如果 JSON 結果中存在該值,則傳回該值。 |
| id | 如果 JSON 結果中存在該值,則傳回該值。 |
| 來源 | 如果 JSON 結果中存在該值,則傳回該值。 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告洞察資訊,通知您擴充實體的惡意狀態。當偵測到的引擎數量達到或超過掃描前設定的限制時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "95.179.168.51"
}]
搜尋網址
說明
搜尋網址並擷取相關聯的標記清單。
參數
不適用
用途
不適用
執行時間
這項動作會對網址實體執行。
動作執行結果
實體擴充
如果實體超過限制,系統會標示為可疑 (True)。否則為 False。
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| AutoFocus_Status | 掃描狀態。0 - 執行中,1 - 已完成 |
| AutoFocus_Percentage | 如果掃描完成,則會顯示相符項目清單;否則會顯示掃描百分比。 |
| AutoFocus_Cookie | Hunt 的 Cookie (用於擷取執行中掃描作業的相關資訊)。 |
| 顯示 | 如果 JSON 結果中存在該值,則傳回該值。 |
| id | 如果 JSON 結果中存在該值,則傳回該值。 |
| 來源 | 如果 JSON 結果中存在該值,則傳回該值。 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告洞察資訊,通知您擴充實體的惡意狀態。當偵測到的引擎數量達到或超過掃描前設定的限制時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
[{
"EntityResult": [{
"visible": true,
"_id": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"_source": {
"size": 165888,
"malware": 0,
"sha1": "81bb895a833594013bc74b429fb1f24f9ec9df26",
"create_date": "2019-08-14T23:01:24",
"finish_date": "2019-08-14T23:07:40",
"imphash": "0a38e850afb4bc720ee47a34e25f5b35",
"filetype": "DLL64",
"ispublic": 1,
"tasks": [{
"metadata_compilation_ts": "2019-07-30T14:47:02"
}],
"region": ["us"],
"ssdeep": "3072:JYS22GGzr5yt8XBlkWj/ld/4Pq+HZk/4mQp39pXdxRvA6ppg+ea:ZIWRd/4PqI41QpTFpg+e",
"sha256": "1a0e60bdaed45635be8dfe2ada5b3897c5346604d9c29df3db6e6e2f7ea5f5fd",
"tag_groups": [],
"tag": [],
"md5": "385eab250b3164ef84bb71efca8e305d"
}}],
"Entity": "http://example.com"
}]
乒乓
說明
測試與 AutoFocus 的連線。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
N/A
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。