Palo Alto Panorama
Versão da integração: 29.0
Integrar o Palo Alto Panorama ao Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://IP_ADDRESS/api |
Sim | Endereço da instância do Panorama da Palo Alto Networks. |
| Nome de usuário | String | N/A | Sim | Um nome de usuário que deve ser usado para se conectar ao Palo Alto Networks Panorama. |
| Senha | Senha | N/A | Sim | A senha do usuário correspondente. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Algumas ações podem exigir configurações adicionais, como permissões, nome do dispositivo ou nome do grupo de dispositivos.
Permissões de ação
Para que as ações sejam executadas corretamente, as seguintes permissões são necessárias:
| Tab | Permissões necessárias |
|---|---|
| Configuração | Leitura e gravação Permissões para recuperar ou modificar configurações do Panorama e do firewall. |
| Solicitações operacionais | Leitura e gravação Permissões para executar comandos operacionais no Panorama e em firewalls. |
| Confirmação | Leitura e gravação Permissões para confirmar configurações do Panorama e do firewall. |
Obter o nome do dispositivo ou do grupo de dispositivos
Para saber o nome do dispositivo, use o seguinte link:
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devicesPara saber o nome do grupo de dispositivos, use o seguinte link:
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group
Adicionar IPs ao grupo
Adicione endereços IP a um grupo de endereços.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome padrão do dispositivo para o Panorama da Palo Alto Networks é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome do grupo de endereços | String | N/A | Sim | Especifique o nome do grupo de endereços. |
Data de execução
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"192.0.2.1",
"203.0.113.1"
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se a operação for bem-sucedida e pelo menos um dos IPs fornecidos tiver sido adicionado
(is_success = true): Se não for possível adicionar IPs específicos (is_success = true): print "Action was not able to add the following IPs to the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier]) Se a adição falhar para todos os IPs (is_success = false): Imprimir: "Nenhum IP foi adicionado ao grupo de endereços do Palo Alto Networks Panorama '{0}'.format(address_group) |
Geral |
Bloquear IPs na política
Bloquear endereços IP em uma determinada política.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome padrão do dispositivo para o Panorama da Palo Alto Networks é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da política | String | N/A | Sim | Especifique o nome da política. |
| Destino | String | N/A | Sim | Especifique o que deve ser o destino. Valores possíveis: origem, destino. |
Data de execução
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"192.0.2.1",
"203.0.113.1"
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se a operação for bem-sucedida e pelo menos um dos IPs fornecidos tiver sido
bloqueado (is_success = true): Se não for possível bloquear IPs específicos (is_success = true): print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier]) Se a adição falhar para todos os IPs (is_success = false): Print: "Nenhum IP foi bloqueado na política '{0}' do Panorama da Palo Alto Networks".format(policy_name) |
Geral |
Bloquear URLs
Adicione URLs a uma categoria específica.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome padrão do dispositivo para o Panorama da Palo Alto Networks é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da categoria de URL | String | N/A | Sim | Especifique o nome da categoria de URL. |
Data de execução
Essa ação é executada na entidade de URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"www.example.com"
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | se a operação for bem-sucedida e pelo menos um dos URLs fornecidos tiver sido adicionado
(is_success = true): Se não for possível adicionar URLs específicos (is_success = true): print "Não foi possível adicionar os seguintes URLs à categoria de URL do Palo Alto Networks Panorama ''{0}'':\n {1}". format(category, [entity.identifier]) Se a adição de todos os URLs falhar (is_success = false): Impressão: "Nenhum URL foi adicionado à categoria de URL do Palo Alto Networks Panorama '{0}'.format(category) |
Geral |
Editar apps bloqueados
Bloquear e desbloquear aplicativos. Cada aplicativo é adicionado ou removido de uma política específica.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Apps a serem bloqueados | String | N/A | Não | Especifique o tipo de aplicativo que deve ser bloqueado. Exemplo: apple-siri,windows-azure |
| Apps para desbloquear | String | N/A | Não | Especifique o tipo de aplicativo que deve ser desbloqueado. Exemplo: apple-siri,windows-azure |
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome padrão do dispositivo para o Panorama da Palo Alto Networks é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da política | String | N/A | Sim | Especifique o nome da política. |
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
Receber aplicativos bloqueados
Liste todos os aplicativos bloqueados em uma determinada política.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome padrão do dispositivo para o Panorama da Palo Alto Networks é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da política | String | N/A | Sim | Especifique o nome da política. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| blocked_applications | N/A | N/A |
Resultado JSON
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | "A lista de aplicativos bloqueados na política ''{0}: {1}" foi criada com sucesso.format(Nome da política, \n lista de aplicativos separados) | Geral |
Ping
Teste a conectividade com o Panorama.
Parâmetros
N/A
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Confirmar mudanças
A ação confirma as mudanças no Panorama da Palo Alto Networks.
Para usar o parâmetro Only My Changes, o usuário precisa ser um administrador.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Somente minhas mudanças | Caixa de seleção | Desmarcado | Não | Se ativada, a ação só vai confirmar as mudanças feitas pelo usuário atual. |
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Enviar mudanças
Enviar commits de um grupo de dispositivos no Palo Alto Networks Panorama.
Pode levar vários minutos para que as mudanças sejam enviadas.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. Consulte a documentação de ação para ter mais insights sobre onde encontrar esse valor. |
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Remover IPs do grupo
Remova endereços IP de um grupo de endereços.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome padrão do dispositivo para o Panorama da Palo Alto Networks é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome do grupo de endereços | String | N/A | Sim | Especifique o nome do grupo de endereços. |
Data de execução
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"192.0.2.1",
"203.0.113.1"
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se a operação for bem-sucedida e pelo menos um dos IPs fornecidos for removido (is_success = true): Se não for possível remover IPs específicos (is_success = true): print "Action was not able to remove the following IPs from the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier]) Se a remoção falhar para todos os IPs (is_success = false): Imprimir: "Nenhum IP foi removido do grupo de endereços do Palo Alto Networks Panorama '{0}'.format(address_group) |
Geral |
Desbloquear IPs na política
Bloquear endereços IP em uma determinada política.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome padrão do dispositivo para o Panorama da Palo Alto Networks é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da política | String | N/A | Sim | Especifique o nome da política. |
| Destino | String | N/A | Sim | Especifique o que deve ser o destino. Valores possíveis: origem, destino. |
Data de execução
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"192.0.2.1",
"203.0.113.1"
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se a operação for bem-sucedida e pelo menos um dos IPs fornecidos for desbloqueado
(is_success = true): Se não for possível bloquear IPs específicos (is_success = true): print "Action was not able to unblock the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier]) Se a adição falhar para todos os IPs (is_success = false): Print: "Nenhum IP foi desbloqueado na política do Palo Alto Networks Panorama '{0}'.format(policy_name) |
Geral |
Desbloquear URLs
Remova URLs de uma determinada categoria de URL.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do dispositivo | String | N/A | Sim | Especifique o nome do dispositivo. O nome padrão do dispositivo para o Panorama da Palo Alto Networks é localhost.localdomain. |
| Nome do grupo de dispositivos | String | N/A | Sim | Especifique o nome do grupo de dispositivos. |
| Nome da categoria de URL | String | N/A | Sim | Especifique o nome da categoria de URL. |
Data de execução
Essa ação é executada na entidade de URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
"www.example.com"
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | se a operação for bem-sucedida e pelo menos um dos URLs fornecidos for removido
(is_success = true): Se não for possível adicionar URLs específicos (is_success = true): print "Action was not able to remove the following URLs from the Palo Alto Networks Panorama URL Category''{0}':\n {1}".format(category, [entity.identifier])
Se a adição de todos os URLs falhar (is_success = false): Print: "Nenhum URL foi removido da categoria de URL do Panorama da Palo Alto Networks '{0}'.format(category) |
Geral |
Registros de pesquisa
Pesquise registros no Panorama da Palo Alto Networks com base na consulta.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de registro | DDL | Tráfego | Sim | Especifique qual tipo de registro deve ser retornado. Valores possíveis: Tráfego, Ameaça, Filtragem de URL, Envios do WildFire, Filtragem de dados, Correspondência de HIP, Tag de IP, ID do usuário, Inspeção de túnel, Configuração, Sistema, Autenticação. |
| Consulta | String | N/A | Não | Especifique qual filtro de consulta deve ser usado para retornar registros. |
| Máximo de horas para trás | Número inteiro | N/A | Não | Especifique o número de horas de onde buscar os registros. |
| Número máximo de registros a serem retornados | Número inteiro | 50 | Não | Especifique quantos registros retornar. O valor máximo é 1.000. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.1</src>
<dst>203.0.113.254</dst>
<natsrc>198.51.100.4</natsrc>
<natdst>203.0.113.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido e retornar pelo menos um registro
(is_success = true): se for bem-sucedido, mas não houver registros(is_success = false): Se a consulta estiver incorreta (status da resposta = erro) (is_success=false): print "Action wasn't able to list logs. Motivo: {0}".format(response/msg) A ação precisa falhar e interromper a execução de um playbook: se houver um erro fatal, como credenciais incorretas, nenhuma conexão com o servidor, outro: print "Error executing action "Search Logs". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Painel de casos em CSV (tráfego) | Nome:registros de tráfego Colunas:
|
|
| Painel de casos CSV (ameaça) | Nome:registros de ameaças Colunas:
|
|
Painel de casos CSV (filtragem de URL) |
Nome:registros de filtragem de URL Colunas:
|
|
Painel de casos CSV (Envios de incêndios florestais) |
Nome:registros de envio de incêndios Colunas:
|
|
Painel de casos CSV (Filtragem de dados) |
Nome:registros de filtragem de dados Colunas:
|
|
Painel de casos CSV (Correspondência de HIP) |
Nome:HIP Match Logs Colunas:
|
|
Painel de casos CSV (Tag de IP) |
Nome:registros de tags de IP Colunas:
|
|
Painel de casos CSV (ID do usuário) |
Nome:registros de correspondência de ID do usuário Colunas:
|
|
Painel de casos CSV (Inspeção de túnel) |
Nome:registros de inspeção de túnel Colunas:
|
|
Painel de casos CSV (Configuração) |
Nome:registros de configuração Colunas:
|
|
Painel de casos CSV (Sistema) |
Nome:registros do sistema Colunas:
|
|
Painel de casos CSV (Autenticação) |
Nome:registros de autenticação Colunas:
|
Receber tráfego correlacionado entre IPs
A ação retorna registros de tráfego de rede correlacionados do Panorama da Palo Alto Networks entre o endereço IP de origem e o de destino.
Recomendações de playbook
Para automatizar o processo de recuperação do tráfego correlacionado entre dois IPs, use o atributo Event.sourceAddress para o endereço IP de origem e Event.destinationAddress para o endereço IP de destino. Essa abordagem é recomendada para alertas que têm apenas um evento do Google SecOps. Em outros casos, podem ocorrer resultados inesperados.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| IP de origem | CSV | N/A | Sim | Especifique o IP de origem que será usado para receber tráfego. |
| IP de destino | CSV | N/A | Sim | Especifique o IP de destino que será usado para receber tráfego. |
| Máximo de horas para trás | Número inteiro | N/A | Não | Especifique o número de horas de onde buscar os registros. |
| Número máximo de registros a serem retornados | Número inteiro | 50 | Não | Especifique quantos registros retornar. O valor máximo é 1.000. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.3</src>
<dst>198.51.100.254</dst>
<natsrc>203.0.113.4</natsrc>
<natdst>198.51.100.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: if successful for at least one pair(is_success = true):
se não for possível para determinados pares ou pares incompletos (is_success = true): if no logs for every pair(is_success =
false): A ação precisa falhar e interromper a execução de um playbook: se houver um erro fatal, como credenciais incorretas, nenhuma conexão com o servidor, outro: print "Error executing action "Get Correlated Traffic Between IPs". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Painel de casos em CSV (para cada par) | Nome:registros de tráfego entre {Source IP} e {Destination IP} Colunas:
|
Conectores
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Palo Alto Panorama: conector de registros de ameaças
O conector ingere registros de ameaças com base no filtro de consulta especificado e nos parâmetros dele.
Permissões do conector
Para que o conector funcione corretamente, as seguintes permissões são necessárias:
| Tab | Permissões necessárias |
|---|---|
| IU da Web |
|
| API XML |
|
Como trabalhar com o parâmetro de conector Query Filter
O parâmetro de conector Query Filter permite personalizar os filtros usados para ingerir registros. Por padrão, o conector usa um filtro de tempo e de gravidade, mas é possível ter filtros mais específicos.
Exemplo de uma consulta usada pelo conector:
{time_filter} and {severity_filter} and {custom_query_filter}
O valor inserido no parâmetro do conector Query Filter
é usado em {custom_query_filter}. Por exemplo, se você especificar o
Query Filter com o atributo (subtype eq spyware), o exemplo da
consulta será o seguinte:
(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | subtype | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
Nome do campo de ambiente |
String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
Padrão de regex do ambiente |
String | .* | Não | Um padrão de expressão regular a ser executado no valor encontrado no campo O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://IP_ADDRESS/api |
Sim | Raiz da API da instância do Panorama da Palo Alto Networks. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Panorama da Palo Alto Networks. |
| Senha | Senha | N/A | Sim | Senha da conta do Panorama da Palo Alto Networks. |
| Filtro de consulta | String | N/A | Não | Especifique outros filtros na consulta. |
| Menor gravidade a ser buscada | String | N/A | Sim | A menor gravidade que será usada para buscar registros de ameaças. Valores possíveis: Informativa, baixa, média, alta, crítica. |
| Voltar o tempo máximo | Número inteiro | 1 | Não | Número de horas desde o momento em que os registros serão buscados. |
| Máximo de registros a serem buscados | Número inteiro | 25 | Não | Quantos registros processar por iteração de conector. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista dinâmica será usada como uma lista de bloqueio. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor Panorama da Palo Alto Networks é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
O conector é compatível com proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.