Palo Alto Panorama

Integrationsversion: 29.0

Palo Alto Panorama in Google Security Operations einbinden

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Instanzname String Nein Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung String Nein Beschreibung der Instanz.
API-Stamm String https://IP_ADDRESS/api Ja Adresse der Palo Alto Networks Panorama-Instanz.
Nutzername String Ja Ein Nutzername, der für die Verbindung zu Palo Alto Networks Panorama verwendet werden soll.
Passwort Passwort Ja Das Passwort des entsprechenden Nutzers.
Remote ausführen Kästchen Deaktiviert Nein Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angeklickt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.

Aktionen

Für einige Aktionen ist möglicherweise eine zusätzliche Konfiguration erforderlich, z. B. Berechtigungen, Gerätename oder Name der Gerätegruppe.

Berechtigungen für Aktionen

Damit Aktionen richtig ausgeführt werden, sind die folgenden Berechtigungen erforderlich:

Tab Erforderliche Berechtigungen
Konfiguration Lesen und Schreiben

Berechtigungen zum Abrufen oder Ändern von Panorama- und Firewallkonfigurationen.
Anfragen zu Funktionen Lesen und Schreiben

Berechtigungen zum Ausführen von Betriebs-Befehlen auf Panorama und Firewalls.
Commit Lesen und Schreiben

Berechtigungen zum Übertragen von Panorama- und Firewallkonfigurationen.

Gerätename oder Name der Gerätegruppe abrufen

  • Verwenden Sie den folgenden Link, um den Gerätenamen zu ermitteln:

    https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices

  • Verwenden Sie den folgenden Link, um den Namen der Gerätegruppe abzurufen:

    https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group

IPs zur Gruppe hinzufügen

Einer Adressgruppe IP-Adressen hinzufügen

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Gerätename String Ja Geben Sie den Namen des Geräts an. Der Standardgerätename für Palo Alto Networks Panorama ist „localhost.localdomain“.
Name der Gerätegruppe String Ja Geben Sie den Namen der Gerätegruppe an.
Name der Adressgruppe String Ja Geben Sie den Namen der Adressgruppe an.

Ausführen am

Diese Aktion wird für die IP-Adressen-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
[
    "192.0.2.1",
    "203.0.113.1"
]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Bei Erfolg und wenn mindestens eine der angegebenen IPs hinzugefügt wurde (is_success = true):
print "Successfully added the following IPs to the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format (address_group, entity.identifier list)

Wenn das Hinzufügen bestimmter IPs fehlschlägt (is_success = true):

print "Action was not able to add the following IPs to the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Wenn das Hinzufügen für alle IPs fehlschlägt (is_success = false):

Print: "No IPs were added to the Palo Alto Networks Panorama address group '{0}'.format(address_group)

 Allgemein

IPs in Richtlinie blockieren

IP-Adressen in einer bestimmten Richtlinie blockieren

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Gerätename String Ja Geben Sie den Namen des Geräts an. Der Standardgerätename für Palo Alto Networks Panorama ist „localhost.localdomain“.
Name der Gerätegruppe String Ja Geben Sie den Namen der Gerätegruppe an.
Richtlinienname String Ja Geben Sie den Namen der Richtlinie an.
Ziel String Ja Geben Sie an, was das Ziel sein soll. Mögliche Werte: source, destination.

Ausführen am

Diese Aktion wird für die IP-Adressen-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
[
    "192.0.2.1",
    "203.0.113.1"
]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Bei Erfolg und wenn mindestens eine der angegebenen IPs blockiert wurde (is_success = true):
print "Successfully blocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Wenn das Blockieren bestimmter IP-Adressen fehlschlägt (is_success = true):

print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Wenn das Hinzufügen für alle IPs fehlschlägt (is_success = false):

Ausgabe: „No IPs were blocked in the Palo Alto Networks Panorama policy '{0}'.format(policy_name)“ (In der Palo Alto Networks Panorama-Richtlinie „{0}“ wurden keine IP-Adressen blockiert.format(policy_name))

Allgemein

URLs blockieren

Fügen Sie einer bestimmten URL-Kategorie URLs hinzu.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Gerätename String Ja Geben Sie den Namen des Geräts an. Der Standardgerätename für Palo Alto Networks Panorama ist „localhost.localdomain“.
Name der Gerätegruppe String Ja Geben Sie den Namen der Gerätegruppe an.
Name der URL-Kategorie String Ja Geben Sie den Namen der URL-Kategorie an.

Ausführen am

Diese Aktion wird für die URL-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch

is_success:False
JSON-Ergebnis
[
    "www.example.com"
]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Bei Erfolg und wenn mindestens eine der angegebenen URLs hinzugefügt wurde (is_success = true):
print "Successfully added the following URLs to the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Fehler beim Hinzufügen bestimmter URLs (is_success = true):

print "Action was not able to add the following URLs to the Palo Alto Networks Panorama URL Category''{0}':\n {1}". format(category, [entity.identifier])

Wenn das Hinzufügen für alle URLs fehlschlägt (is_success = false):

Print: "No URLs were added to the Palo Alto Networks Panorama URL Category '{0}'.format(category)

 Allgemein

Gesperrte Anwendungen bearbeiten

Anwendungen blockieren und die Blockierung aufheben Jede Anwendung wird einer bestimmten Richtlinie hinzugefügt oder daraus entfernt.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Zu blockierende Anwendungen String Nein Geben Sie an, welche Art von Anwendung blockiert werden soll. Beispiel: apple-siri,windows-azure
Zu entsperrende Anwendungen String Nein Geben Sie an, welche Art von Anwendung entsperrt werden soll. Beispiel: apple-siri,windows-azure
Gerätename String Ja Geben Sie den Namen des Geräts an. Der Standardgerätename für Palo Alto Networks Panorama ist „localhost.localdomain“.
Name der Gerätegruppe String Ja Geben Sie den Namen der Gerätegruppe an.
Richtlinienname String Ja Geben Sie den Namen der Richtlinie an.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]

Gesperrte Anwendungen abrufen

Alle blockierten Anwendungen in einer bestimmten Richtlinie auflisten.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Gerätename String Ja Geben Sie den Namen des Geräts an. Der Standardgerätename für Palo Alto Networks Panorama ist „localhost.localdomain“.
Name der Gerätegruppe String Ja Geben Sie den Namen der Gerätegruppe an.
Richtlinienname String Ja Geben Sie den Namen der Richtlinie an.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
blocked_applications
JSON-Ergebnis
[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung* „Blockierte Anwendungen in der Richtlinie ‚{0}‘ wurden erfolgreich aufgeführt: {1}“.format(Policy name, \n separated list of applications) Allgemein

Ping

Verbindung zu Panorama testen

Parameter

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False

Änderungen per Commit durchführen

Mit der Aktion werden Änderungen in Palo Alto Networks Panorama übernommen.

Damit der Parameter Only My Changes verwendet werden kann, muss der Nutzer ein Administrator sein.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Nur meine Änderungen Kästchen Deaktiviert Nein Wenn diese Option aktiviert ist, werden nur Änderungen übernommen, die vom aktuellen Nutzer vorgenommen wurden.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False

Änderungen übertragen

Push-Commits einer Gerätegruppe in Palo Alto Networks Panorama.

Es kann einige Minuten dauern, bis Änderungen übertragen werden.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Name der Gerätegruppe String Ja Geben Sie den Namen der Gerätegruppe an. Weitere Informationen dazu, wo Sie diesen Wert finden, finden Sie in der Dokumentation zu Aktionen.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False

IPs aus Gruppe entfernen

IP-Adressen aus einer Adressgruppe entfernen

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Gerätename String Ja Geben Sie den Namen des Geräts an. Der Standardgerätename für Palo Alto Networks Panorama ist „localhost.localdomain“.
Name der Gerätegruppe String Ja Geben Sie den Namen der Gerätegruppe an.
Name der Adressgruppe String Ja Geben Sie den Namen der Adressgruppe an.

Ausführen am

Diese Aktion wird für die IP-Adressen-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
[
    "192.0.2.1",
    "203.0.113.1"
]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Bei Erfolg und wenn mindestens eine der angegebenen IPs entfernt wurde (is_success = true):
print "Successfully removed the following IPs from the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format(address_group, entity.identifier list)

Wenn bestimmte IPs nicht entfernt werden können (is_success = true):

print "Action was not able to remove the following IPs from the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Wenn das Entfernen für alle IP-Adressen fehlschlägt (is_success = false):

Drucken: „Es wurden keine IPs aus der Palo Alto Networks Panorama-Adressgruppe ‚{0}‘ entfernt.“format(address_group)

 Allgemein

Blockierung von IP-Adressen in Richtlinie aufheben

IP-Adressen in einer bestimmten Richtlinie blockieren

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Gerätename String Ja Geben Sie den Namen des Geräts an. Der Standardgerätename für Palo Alto Networks Panorama ist „localhost.localdomain“.
Name der Gerätegruppe String Ja Geben Sie den Namen der Gerätegruppe an.
Richtlinienname String Ja Geben Sie den Namen der Richtlinie an.
Ziel String Ja Geben Sie an, was das Ziel sein soll. Mögliche Werte: source, destination.

Ausführen am

Diese Aktion wird für die IP-Adressen-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
[
    "192.0.2.1",
    "203.0.113.1"
]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Bei Erfolg und wenn mindestens eine der angegebenen IPs entsperrt wurde (is_success = true):
print "Successfully unblocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Wenn das Blockieren bestimmter IPs fehlschlägt (is_success = true):

print "Action was not able to unblock the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Wenn das Hinzufügen für alle IPs fehlschlägt (is_success = false):

Ausgabe: „No IPs were unblocked in the Palo Alto Networks Panorama policy '{0}'.format(policy_name)“ (Es wurden keine IP-Adressen in der Palo Alto Networks Panorama-Richtlinie „{0}“ entsperrt.format(policy_name))

Allgemein

Blockierung von URLs aufheben

Entfernen Sie URLs aus einer bestimmten URL-Kategorie.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Gerätename String Ja Geben Sie den Namen des Geräts an. Der Standardgerätename für Palo Alto Networks Panorama ist „localhost.localdomain“.
Name der Gerätegruppe String Ja Geben Sie den Namen der Gerätegruppe an.
Name der URL-Kategorie String Ja Geben Sie den Namen der URL-Kategorie an.

Ausführen am

Diese Aktion wird für die URL-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch

is_success:False
JSON-Ergebnis
[
    "www.example.com"
]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Bei Erfolg und wenn mindestens eine der angegebenen URLs entfernt wurde (is_success = true):
print "Successfully removed the following URLs from the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Wenn bestimmte URLs nicht hinzugefügt werden können (is_success = true):

print "Action was not able to remove the following URLs from the Palo Alto Networks Panorama URL Category''{0}':\n {1}".format(category, [entity.identifier])

Wenn das Hinzufügen für alle URLs fehlschlägt (is_success = false):

Print: "No URLs were removed from the Palo Alto Networks Panorama URL Category '{0}'.format(category)

 Allgemein

Suchprotokolle

Sucht in Palo Alto Networks Panorama anhand der Abfrage nach Logs.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Logtyp DDL Traffic Ja

Geben Sie an, welcher Logtyp zurückgegeben werden soll.

Mögliche Werte: Traffic, Threat, URL Filtering, WildFire Submissions, Data Filtering, HIP Match, IP Tag, User ID, Tunnel Inspection, Configuration, System, Authentication.
Abfrage String Nein Geben Sie an, welcher Abfragefilter zum Zurückgeben von Logs verwendet werden soll.
Maximale Stunden zurück Ganzzahl Nein Geben Sie an, wie viele Stunden zurückliegend Protokolle abgerufen werden sollen.
Maximale Anzahl zurückzugebender Logs Ganzzahl 50 Nein Geben Sie an, wie viele Protokolle zurückgegeben werden sollen. Der Maximalwert beträgt 1.000.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
  <logs count="1" progress="100">
                <entry logid="28889">
                    <domain>0</domain>
                    <receive_time>2020/07/06 13:51:19</receive_time>
                    <serial>007051000096801</serial>
                    <seqno>21467</seqno>
                    <actionflags>0x0</actionflags>
                    <is-logging-service>no</is-logging-service>
                    <type>THREAT</type>
                    <subtype>spyware</subtype>
                    <config_ver>0</config_ver>
                    <time_generated>2020/07/06 13:51:10</time_generated>
                    <src>192.0.2.1</src>
                    <dst>203.0.113.254</dst>
                    <natsrc>198.51.100.4</natsrc>
                    <natdst>203.0.113.254</natdst>
                    <rule>inside to outside</rule>
                    <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                    <dstloc code="United States" cc="US">United States</dstloc>
                    <app>ms-update</app>
                    <vsys>vsys1</vsys>
                    <from>inside</from>
                    <to>Outside</to>
                    <inbound_if>ethernet1/2</inbound_if>
                    <outbound_if>ethernet1/1</outbound_if>
                    <logset>log forward1</logset>
                    <time_received>2020/07/06 13:51:10</time_received>
                    <sessionid>2348</sessionid>
                    <repeatcnt>1</repeatcnt>
                    <sport>56761</sport>
                    <dport>80</dport>
                    <natsport>45818</natsport>
                    <natdport>80</natdport>
                    <flags>0x80403000</flags>
                    <flag-pcap>yes</flag-pcap>
                    <flag-flagged>no</flag-flagged>
                    <flag-proxy>no</flag-proxy>
                    <flag-url-denied>no</flag-url-denied>
                    <flag-nat>yes</flag-nat>
                    <captive-portal>no</captive-portal>
                    <non-std-dport>no</non-std-dport>
                    <transaction>no</transaction>
                    <pbf-c2s>no</pbf-c2s>
                    <pbf-s2c>no</pbf-s2c>
                    <temporary-match>yes</temporary-match>
                    <sym-return>no</sym-return>
                    <decrypt-mirror>no</decrypt-mirror>
                    <credential-detected>no</credential-detected>
                    <flag-mptcp-set>no</flag-mptcp-set>
                    <flag-tunnel-inspected>no</flag-tunnel-inspected>
                    <flag-recon-excluded>no</flag-recon-excluded>
                    <flag-wf-channel>no</flag-wf-channel>
                    <pktlog>1594032670-2348.pcap</pktlog>
                    <proto>tcp</proto>
                    <action>alert</action>
                    <tunnel>N/A</tunnel>
                    <tpadding>0</tpadding>
                    <cpadding>0</cpadding>
                    <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                    <dg_hier_level_1>11</dg_hier_level_1>
                    <dg_hier_level_2>0</dg_hier_level_2>
                    <dg_hier_level_3>0</dg_hier_level_3>
                    <dg_hier_level_4>0</dg_hier_level_4>
                    <device_name>PA-VM</device_name>
                    <vsys_id>1</vsys_id>
                    <tunnelid_imsi>0</tunnelid_imsi>
                    <parent_session_id>0</parent_session_id>
                    <threatid>Suspicious HTTP Evasion Found</threatid>
                    <tid>14984</tid>
                    <reportid>0</reportid>
                    <category>computer-and-internet-info</category>
                    <severity>informational</severity>
                    <direction>client-to-server</direction>
                    <url_idx>1</url_idx>
                    <padding>0</padding>
                    <pcap_id>1206408081198547007</pcap_id>
                    <contentver>AppThreat-0-0</contentver>
                    <sig_flags>0x0</sig_flags>
                    <thr_category>spyware</thr_category>
                    <assoc_id>0</assoc_id>
                    <ppid>4294967295</ppid>
                    <http2_connection>0</http2_connection>
                    <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                    <tunnelid>0</tunnelid>
                    <imsi/>
                    <monitortag/>
                    <imei/>
                </entry>
            </logs>
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf eine Playbook-Ausführung nicht stoppen:

Bei Erfolg und wenn mindestens ein Log zurückgegeben wurde (is_success = true):
print "Successfully listed {0} logs. Verwendete Anfrage: „{1}“.format(log_type)

Bei Erfolg, aber ohne Logs(is_success = false):
print "Es wurden keine {0}-Logs gefunden. Verwendete Anfrage: '{1}' ".format(log_type, query)

Bei falscher Anfrage (Antwortstatus = Fehler) (is_success=false):

print "Action wasn't able to list logs. Grund: {0}".format(response/msg)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server, andere:

print "Error executing action "Search Logs". Grund: {0}''.format(error.Stacktrace)

 Allgemein
CSV-Fall-Repository (Traffic)

Name:Traffic-Logs

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • Quell-IP (zugeordnet als src)
  • Ziel-IP (als „dst“ zugeordnet)
  • Aktion (als „action“ zugeordnet)
  • Typ (als Untertyp zugeordnet)
  • Anwendung (als App zugeordnet)
CSV-Fall-Repository (Bedrohung)

Name:Threat Logs

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • Beschreibung (als „threatID“ zugeordnet)
  • Quell-IP (als „src“ zugeordnet)
  • Ziel-IP (als „dst“ zugeordnet)
  • Name (als „Sonstiges“ zugeordnet)
  • Typ (als Untertyp zugeordnet)
  • Schweregrad (als „severity“ zugeordnet)

CSV-Fall-Repository

(URL-Filter)

Name:URL-Filterprotokolle

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • Quell-IP (als „src“ zugeordnet)
  • Ziel-IP (als „dst“ zugeordnet)
  • URL (als „Sonstiges“ zugeordnet)
  • Kategorie (als „category“ zugeordnet)
  • Schweregrad (als „severity“ zugeordnet)
  • Aktion (als „action“ zugeordnet)

CSV-Fall-Repository

(Beiträge zu Waldbränden)

Name:Wildfire Submission Logs

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • Beschreibung (als „threatID“ zugeordnet)
  • Quell-IP (als „src“ zugeordnet)
  • Ziel-IP (als „dst“ zugeordnet)
  • Name (als „Sonstiges“ zugeordnet)
  • Typ (als Untertyp zugeordnet)
  • Schweregrad (als „severity“ zugeordnet)
  • Aktion (als „action“ zugeordnet)
  • Hash (als „filedigest“ zugeordnet)
  • Dateityp (wird als „filetype“ zugeordnet)

CSV-Fall-Repository

(Datenfilterung)

Name:Protokolle zur Datenfilterung

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • Beschreibung (als „threatID“ zugeordnet)
  • Quell-IP (als „src“ zugeordnet)
  • Ziel-IP (als „dst“ zugeordnet)
  • Name (als „Sonstiges“ zugeordnet)
  • Typ (als Untertyp zugeordnet)
  • Schweregrad (als „severity“ zugeordnet)
  • Aktion (als „action“ zugeordnet)

CSV-Fall-Repository

(HIP-Abgleich)

Name:HIP Match Logs

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • IP (als „src“ zugeordnet)
  • HIP (als „matchname“ zugeordnet)
  • Anzahl der Wiederholungen(als „repeatcnt“ zugeordnet)
  • Gerätename (wird als „device_name“ zugeordnet)

CSV-Fall-Repository

(IP-Tag)

Name:IP Tag Logs

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • IP (als „ip“ zugeordnet)
  • Tag-Name (als „tag_name“ zugeordnet)
  • Gerätename (wird als „device_name“ zugeordnet)
  • Ereignis-ID (als „event_id“ zugeordnet)

CSV-Fall-Repository

(Nutzer-ID)

Name:User ID Match Logs

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • IP (mapped as ip)
  • Nutzer (als „user“ zugeordnet)
  • Gerätename (wird als „device_name“ zugeordnet)
  • Typ (als Untertyp zugeordnet)

CSV-Fall-Repository

(Tunnelinspektion)

Name:Tunnel Inspection Logs

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • Quell-IP (als „src“ zugeordnet)
  • Ziel-IP (als „dst“ zugeordnet)
  • Anwendung (als App zugeordnet)
  • Typ (als Untertyp zugeordnet)
  • Schweregrad (als „severity“ zugeordnet)
  • Aktion (als „action“ zugeordnet)

CSV-Fall-Repository

(Konfiguration)

Name:Konfigurationslogs

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • Befehl (als „cmd“ zugeordnet)
  • Administrator (als Administrator zugeordnet)
  • Gerätename (als „device_name“ zugeordnet)

CSV-Fall-Repository

(System)

Name:Systemprotokolle

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • Gerätename (als „device_name“ zugeordnet)
  • Typ (als Untertyp zugeordnet)
  • Schweregrad (als „severity“ zugeordnet)
  • Beschreibung (als undurchsichtig zugeordnet)

CSV-Fall-Repository

(Authentifizierung)

Name:Authentifizierungslogs

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • Gerätename (wird als „device_name“ zugeordnet)
  • IP (als „ip“ zugeordnet)
  • Nutzer (als „user“ zugeordnet)
  • Typ (als Untertyp zugeordnet)
  • Schweregrad (wird als „severity“ zugeordnet)
  • Beschreibung (als „desc“ zugeordnet)

Korrelierter Traffic zwischen IP-Adressen

Die Aktion gibt korrelierte Netzwerktraffic-Logs von Palo Alto Networks Panorama zwischen der Quell-IP-Adresse und der Ziel-IP-Adresse zurück.

Playbook-Empfehlungen

Wenn Sie den Prozess zum Abrufen von korreliertem Traffic zwischen zwei IP-Adressen automatisieren möchten, verwenden Sie das Attribut Event.sourceAddress für die Quell-IP-Adresse und Event.destinationAddress für die Ziel-IP-Adresse. Dieser Ansatz wird für Benachrichtigungen mit nur einem Google SecOps-Ereignis empfohlen. In anderen Fällen kann es zu unerwarteten Ergebnissen kommen.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Quell-IP-Adresse CSV Ja Geben Sie die Quell-IP-Adresse an, die zum Abrufen von Traffic verwendet wird.
Ziel-IP-Adresse CSV Ja Geben Sie die Ziel-IP an, die zum Abrufen von Traffic verwendet wird.
Maximale Stunden zurück Ganzzahl Nein Geben Sie an, wie viele Stunden zurückliegend Protokolle abgerufen werden sollen.
Maximale Anzahl zurückzugebender Logs Ganzzahl 50 Nein Geben Sie an, wie viele Protokolle zurückgegeben werden sollen. Der Maximalwert beträgt 1.000.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
     <logs count="1" progress="100">
                    <entry logid="28889">
                        <domain>0</domain>
                        <receive_time>2020/07/06 13:51:19</receive_time>
                        <serial>007051000096801</serial>
                        <seqno>21467</seqno>
                        <actionflags>0x0</actionflags>
                        <is-logging-service>no</is-logging-service>
                        <type>THREAT</type>
                        <subtype>spyware</subtype>
                        <config_ver>0</config_ver>
                        <time_generated>2020/07/06 13:51:10</time_generated>
                        <src>192.0.2.3</src>
                        <dst>198.51.100.254</dst>
                        <natsrc>203.0.113.4</natsrc>
                        <natdst>198.51.100.254</natdst>
                        <rule>inside to outside</rule>
                        <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                        <dstloc code="United States" cc="US">United States</dstloc>
                        <app>ms-update</app>
                        <vsys>vsys1</vsys>
                        <from>inside</from>
                        <to>Outside</to>
                        <inbound_if>ethernet1/2</inbound_if>
                        <outbound_if>ethernet1/1</outbound_if>
                        <logset>log forward1</logset>
                        <time_received>2020/07/06 13:51:10</time_received>
                        <sessionid>2348</sessionid>
                        <repeatcnt>1</repeatcnt>
                        <sport>56761</sport>
                        <dport>80</dport>
                        <natsport>45818</natsport>
                        <natdport>80</natdport>
                        <flags>0x80403000</flags>
                        <flag-pcap>yes</flag-pcap>
                        <flag-flagged>no</flag-flagged>
                        <flag-proxy>no</flag-proxy>
                        <flag-url-denied>no</flag-url-denied>
                        <flag-nat>yes</flag-nat>
                        <captive-portal>no</captive-portal>
                        <non-std-dport>no</non-std-dport>
                        <transaction>no</transaction>
                        <pbf-c2s>no</pbf-c2s>
                        <pbf-s2c>no</pbf-s2c>
                        <temporary-match>yes</temporary-match>
                        <sym-return>no</sym-return>
                        <decrypt-mirror>no</decrypt-mirror>
                        <credential-detected>no</credential-detected>
                        <flag-mptcp-set>no</flag-mptcp-set>
                        <flag-tunnel-inspected>no</flag-tunnel-inspected>
                        <flag-recon-excluded>no</flag-recon-excluded>
                        <flag-wf-channel>no</flag-wf-channel>
                        <pktlog>1594032670-2348.pcap</pktlog>
                        <proto>tcp</proto>
                        <action>alert</action>
                        <tunnel>N/A</tunnel>
                        <tpadding>0</tpadding>
                        <cpadding>0</cpadding>
                        <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                        <dg_hier_level_1>11</dg_hier_level_1>
                        <dg_hier_level_2>0</dg_hier_level_2>
                        <dg_hier_level_3>0</dg_hier_level_3>
                        <dg_hier_level_4>0</dg_hier_level_4>
                        <device_name>PA-VM</device_name>
                        <vsys_id>1</vsys_id>
                        <tunnelid_imsi>0</tunnelid_imsi>
                        <parent_session_id>0</parent_session_id>
                        <threatid>Suspicious HTTP Evasion Found</threatid>
                        <tid>14984</tid>
                        <reportid>0</reportid>
                        <category>computer-and-internet-info</category>
                        <severity>informational</severity>
                        <direction>client-to-server</direction>
                        <url_idx>1</url_idx>
                        <padding>0</padding>
                        <pcap_id>1206408081198547007</pcap_id>
                        <contentver>AppThreat-0-0</contentver>
                        <sig_flags>0x0</sig_flags>
                        <thr_category>spyware</thr_category>
                        <assoc_id>0</assoc_id>
                        <ppid>4294967295</ppid>
                        <http2_connection>0</http2_connection>
                        <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                        <tunnelid>0</tunnelid>
                        <imsi/>
                        <monitortag/>
                        <imei/>
                    </entry>
                </logs>
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf eine Playbook-Ausführung nicht stoppen:

if successful for at least one pair(is_success = true):
print "Successfully listed correlated logs for the following pairs of Source and Destination IPs:\n.{0} – {1}.format(source IP, destination IP.)

Bei bestimmten Paaren nicht erfolgreich oder unvollständige Paare (is_success = true):
print "Unable to list correlated logs for the following pairs of Source and Destination IPs:\n.{0} – {1}".format(source IP, destination IP. Im unvollständigen Paar sollte der fehlende Teil durch „N/A“ ersetzt werden.

if no logs for every pair(is_success = false):
print "No correlated network traffic logs were found."

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server, andere:

print "Error executing action "Get Correlated Traffic Between IPs". Grund: {0}''.format(error.Stacktrace)

 Allgemein
CSV-Fall-Repository (für jedes Paar)

Name:Traffic-Logs zwischen {Source IP} und {Destination IP}

Spalten:

  • Empfangszeit (als „receive_time“ zugeordnet)
  • Quell-IP (als „src“ zugeordnet)
  • Ziel-IP (als „dst“ zugeordnet)
  • Aktion (als „action“ zugeordnet)
  • Typ (als Untertyp zugeordnet)
  • Anwendung (als App zugeordnet)

Connectors

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Palo Alto Panorama – Threat Log Connector

Der Connector erfasst Bedrohungslogs basierend auf dem angegebenen Abfragefilter und seinen Parametern.

Connector-Berechtigungen

Damit der Connector richtig funktioniert, sind die folgenden Berechtigungen erforderlich:

Tab Erforderliche Berechtigungen
Web-UI
  • Datenschutz (alle)
  • Tasks
  • Global (alle)
XML API
  • Log
  • Anfragen zu Funktionen

Mit dem Connector-Parameter Query Filter arbeiten

Mit dem Connector-Parameter Query Filter können Sie Filter anpassen, die zum Erfassen von Logs verwendet werden. Standardmäßig werden ein Zeitfilter und ein Schweregradfilter verwendet. Es sind jedoch auch spezifischere Filter möglich.

Hier ist ein Beispiel für eine Abfrage, die vom Connector verwendet wird:

{time_filter} and {severity_filter} and {custom_query_filter}

Der Wert, den Sie in den Connector-Parameter Query Filter eingeben, wird in {custom_query_filter} verwendet. Wenn Sie beispielsweise Query Filter mit dem Attribut (subtype eq spyware) angeben, sieht die Beispielabfrage so aus:

(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Produktfeldname String Produktname Ja Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds String Untertyp Ja Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.

Feldname der Umgebung

 String "" Nein

Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist.

Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.

Regex-Muster für Umgebung

 String .* Nein

Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Environment Field Name angewendet wird.

Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben.

Damit kann der Nutzer das Feld „environment“ mit der Logik für reguläre Ausdrücke bearbeiten.

Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden) Ganzzahl 180 Ja Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm String https://IP_ADDRESS/api Ja API-Stammverzeichnis der Palo Alto Networks Panorama-Instanz.
Nutzername String Ja Nutzername des Palo Alto Networks Panorama-Kontos.
Passwort Passwort Ja Das Passwort des Palo Alto Networks Panorama-Kontos.
Abfragefilter String Nein Geben Sie zusätzliche Filter in der Abfrage an.
Niedrigster abzurufender Schweregrad String Ja

Der niedrigste Schweregrad, der zum Abrufen von Bedrohungslogs verwendet wird. Mögliche Werte:

Informationell, Niedrig, Mittel, Hoch, Kritisch.

Maximale Stunden rückwärts abrufen Ganzzahl 1 Nein Anzahl der Stunden, ab denen Logs abgerufen werden sollen.
Maximale Anzahl abzurufender Logs Ganzzahl 25 Nein Die Anzahl der Logs, die pro Connector-Iteration verarbeitet werden sollen.
Zulassungsliste als Sperrliste verwenden Kästchen Deaktiviert Ja Wenn diese Option aktiviert ist, wird die dynamische Liste als Blockierliste verwendet.
SSL überprüfen Kästchen Aktiviert Ja Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Palo Alto Networks Panorama-Server gültig ist.
Proxyserveradresse String Nein Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername String Nein Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort Passwort Nein Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten