Palo Alto Panorama

Versión de integración: 29.0

Integrar Palo Alto Panorama con Google Security Operations

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la instancia Cadena N/A No Nombre de la instancia para la que quiere configurar la integración.
Descripción Cadena N/A No Descripción de la instancia.
Raíz de la API Cadena https://IP_ADDRESS/api Dirección de la instancia de Palo Alto Networks Panorama.
Nombre de usuario Cadena N/A Nombre de usuario que se debe usar para conectarse a Palo Alto Networks Panorama.
Contraseña Contraseña N/A La contraseña del usuario correspondiente.
Ejecutar de forma remota Casilla Desmarcada No Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Algunas acciones pueden requerir una configuración adicional, como permisos, nombre del dispositivo o nombre del grupo de dispositivos.

Permisos de acción

Para que las acciones se ejecuten correctamente, se necesitan los siguientes permisos:

Pestaña Permisos necesarios
Configuración Lectura y escritura

Permisos para recuperar o modificar las configuraciones de Panorama y del cortafuegos.
Solicitudes operativas Lectura y escritura

Permisos para ejecutar comandos operativos en Panorama y cortafuegos.
Confirmación Lectura y escritura

Permisos para confirmar las configuraciones de Panorama y del cortafuegos.

Obtener el nombre del dispositivo o del grupo de dispositivos

  • Para obtener el nombre del dispositivo, usa el siguiente enlace:

    https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices

  • Para obtener el nombre del grupo de dispositivos, utiliza el siguiente enlace:

    https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group

Añadir IPs al grupo

Añade direcciones IP a un grupo de direcciones.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo Cadena N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado de Palo Alto Networks Panorama es localhost.localdomain.
Nombre del grupo de dispositivos Cadena N/A Especifica el nombre del grupo de dispositivos.
Nombre del grupo de direcciones Cadena N/A Especifica el nombre del grupo de direcciones.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si se ha completado correctamente y se ha añadido al menos una de las IPs proporcionadas (is_success = true):
print "Successfully added the following IPs to the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format (address_group, entity.identifier list)

Si no se pueden añadir IPs específicas (is_success = true):

print "No se ha podido añadir las siguientes IPs al grupo de direcciones de Palo Alto Networks Panorama ''{0}':\n {1}".format(address_group, [entity.identifier])

Si no se puede añadir para todas las IPs (is_success = false):

Imprimir: "No se ha añadido ninguna IP al grupo de direcciones de Palo Alto Networks Panorama "{0}".format(address_group)

 General

Bloquear IPs en la política

Bloquear direcciones IP en una política determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo Cadena N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado de Palo Alto Networks Panorama es localhost.localdomain.
Nombre del grupo de dispositivos Cadena N/A Especifica el nombre del grupo de dispositivos.
Nombre de la política Cadena N/A Especifica el nombre de la política.
Objetivo Cadena N/A Especifica cuál debe ser el objetivo. Valores posibles: source, destination.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si la operación se realiza correctamente y se ha bloqueado al menos una de las IPs proporcionadas (is_success = true):
print "Successfully blocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Si no se pueden bloquear IPs específicas (is_success = true):

print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Si no se puede añadir para todas las IPs (is_success = false):

Imprimir: "No se ha bloqueado ninguna IP en la política de Panorama de Palo Alto Networks "{0}".format(policy_name)

General

Bloquear URLs

Añade URLs a una categoría de URL determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo Cadena N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado de Palo Alto Networks Panorama es localhost.localdomain.
Nombre del grupo de dispositivos Cadena N/A Especifica el nombre del grupo de dispositivos.
Nombre de la categoría de URL Cadena N/A Especifica el nombre de la categoría de URL.

Fecha de ejecución

Esta acción se ejecuta en la entidad URL.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso

is_success:False
Resultado de JSON
[
    "www.example.com"
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si se ha completado correctamente y se ha añadido al menos una de las URLs proporcionadas (is_success = true):
print "Successfully added the following URLs to the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Si no se pueden añadir URLs específicas (is_success = true):

print "Action was not able to add the following URLs to the Palo Alto Networks Panorama URL Category''{0}':\n {1}". format(category, [entity.identifier])

Si no se pueden añadir todas las URLs (is_success = false):

Imprimir: "No se ha añadido ninguna URL a la categoría de URL de Palo Alto Networks Panorama "{0}".format(category)

 General

Editar aplicaciones bloqueadas

Bloquear y desbloquear aplicaciones. Cada aplicación se añade o se quita de una política determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Aplicaciones que bloquear Cadena N/A No Especifica qué tipo de aplicación se debe bloquear. Ejemplo: apple-siri,windows-azure
Aplicaciones que desbloquear Cadena N/A No Especifica qué tipo de aplicación se debe desbloquear. Ejemplo: apple-siri,windows-azure
Nombre del dispositivo Cadena N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado de Palo Alto Networks Panorama es localhost.localdomain.
Nombre del grupo de dispositivos Cadena N/A Especifica el nombre del grupo de dispositivos.
Nombre de la política Cadena N/A Especifica el nombre de la política.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]

Get Blocked Applications

Lista todas las aplicaciones bloqueadas en una política determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo Cadena N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado de Palo Alto Networks Panorama es localhost.localdomain.
Nombre del grupo de dispositivos Cadena N/A Especifica el nombre del grupo de dispositivos.
Nombre de la política Cadena N/A Especifica el nombre de la política.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
blocked_applications N/A N/A
Resultado de JSON
[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida* "Successfully listed blocked applications in a policy ''{0}: {1}".format(Policy name, \n separated list of applications) ("Se han enumerado correctamente las aplicaciones bloqueadas en la política "{0}: {1}".format(Policy name, \n separated list of applications)") General

Ping

Prueba la conectividad con Panorama.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Confirmar cambios

La acción confirma los cambios en Palo Alto Networks Panorama.

Para usar el parámetro Only My Changes, el usuario debe ser administrador.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Solo mis cambios Casilla Desmarcada No Si se habilita, la acción solo aplicará los cambios realizados por el usuario actual.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Enviar cambios

Envía los cambios de un grupo de dispositivos en Palo Alto Networks Panorama.

Los cambios pueden tardar varios minutos en aplicarse.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del grupo de dispositivos Cadena N/A Especifica el nombre del grupo de dispositivos. Consulta la documentación de las acciones para obtener más información sobre dónde puedes encontrar este valor.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Eliminar IPs del grupo

Eliminar direcciones IP de un grupo de direcciones.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo Cadena N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado de Palo Alto Networks Panorama es localhost.localdomain.
Nombre del grupo de dispositivos Cadena N/A Especifica el nombre del grupo de dispositivos.
Nombre del grupo de direcciones Cadena N/A Especifica el nombre del grupo de direcciones.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si se ha completado correctamente y se ha eliminado al menos una de las IPs proporcionadas (is_success = true):
print "Successfully removed the following IPs from the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format(address_group, entity.identifier list)

Si no se pueden quitar IPs específicas (is_success = true):

print "Action was not able to remove the following IPs from the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Si no se puede eliminar para todas las IPs (is_success = false):

Imprimir: "No se ha eliminado ninguna IP del grupo de direcciones de Palo Alto Networks Panorama "{0}".format(address_group)

 General

Desbloquear IPs en la política

Bloquear direcciones IP en una política determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo Cadena N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado de Palo Alto Networks Panorama es localhost.localdomain.
Nombre del grupo de dispositivos Cadena N/A Especifica el nombre del grupo de dispositivos.
Nombre de la política Cadena N/A Especifica el nombre de la política.
Objetivo Cadena N/A Especifica cuál debe ser el objetivo. Valores posibles: source, destination.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si se ha completado correctamente y se ha desbloqueado al menos una de las IPs proporcionadas (is_success = true):
print "Successfully unblocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Si no se pueden bloquear IPs específicas (is_success = true):

print "No se ha podido desbloquear las siguientes IPs en la política ''{0}' de Palo Alto Networks Panorama:\n {1}".format(policy_name, [entity.identifier])

Si no se puede añadir para todas las IPs (is_success = false):

Imprimir: "No se ha desbloqueado ninguna IP en la política de Panorama de Palo Alto Networks "{0}".format(policy_name)

General

Desbloquear URLs

Quita URLs de una categoría de URL determinada.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del dispositivo Cadena N/A Especifica el nombre del dispositivo. El nombre de dispositivo predeterminado de Palo Alto Networks Panorama es localhost.localdomain.
Nombre del grupo de dispositivos Cadena N/A Especifica el nombre del grupo de dispositivos.
Nombre de la categoría de URL Cadena N/A Especifica el nombre de la categoría de URL.

Fecha de ejecución

Esta acción se ejecuta en la entidad URL.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso

is_success:False
Resultado de JSON
[
    "www.example.com"
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

if successful and at least one of the provided URLs was removed (is_success = true):
print "Successfully removed the following URLs from the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Si no se pueden añadir URLs específicas (is_success = true):

print "Action was not able to remove the following URLs from the Palo Alto Networks Panorama URL Category''{0}':\n {1}".format(category, [entity.identifier])

Si no se pueden añadir todas las URLs (is_success = false):

Imprimir: "No se ha eliminado ninguna URL de la categoría de URL de Palo Alto Networks Panorama "{0}".format(category)

 General

Registros de búsqueda

Busca registros en Palo Alto Networks Panorama en función de la consulta.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Tipo de registro DDL Tráfico

Especifica qué tipo de registro se debe devolver.

Valores posibles: Traffic, Threat, URL Filtering, WildFire Submissions, Data Filtering, HIP Match, IP Tag, User ID, Tunnel Inspection, Configuration, System, Authentication.
Consulta Cadena N/A No Especifica qué filtro de consulta se debe usar para devolver los registros.
Número máximo de horas hacia atrás Entero N/A No Especifica el número de horas desde el que quieres obtener los registros.
Número máximo de registros que se devolverán Entero 50 No Especifica cuántos registros quieres que se devuelvan. El máximo es 1000.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
  <logs count="1" progress="100">
                <entry logid="28889">
                    <domain>0</domain>
                    <receive_time>2020/07/06 13:51:19</receive_time>
                    <serial>007051000096801</serial>
                    <seqno>21467</seqno>
                    <actionflags>0x0</actionflags>
                    <is-logging-service>no</is-logging-service>
                    <type>THREAT</type>
                    <subtype>spyware</subtype>
                    <config_ver>0</config_ver>
                    <time_generated>2020/07/06 13:51:10</time_generated>
                    <src>192.0.2.1</src>
                    <dst>203.0.113.254</dst>
                    <natsrc>198.51.100.4</natsrc>
                    <natdst>203.0.113.254</natdst>
                    <rule>inside to outside</rule>
                    <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                    <dstloc code="United States" cc="US">United States</dstloc>
                    <app>ms-update</app>
                    <vsys>vsys1</vsys>
                    <from>inside</from>
                    <to>Outside</to>
                    <inbound_if>ethernet1/2</inbound_if>
                    <outbound_if>ethernet1/1</outbound_if>
                    <logset>log forward1</logset>
                    <time_received>2020/07/06 13:51:10</time_received>
                    <sessionid>2348</sessionid>
                    <repeatcnt>1</repeatcnt>
                    <sport>56761</sport>
                    <dport>80</dport>
                    <natsport>45818</natsport>
                    <natdport>80</natdport>
                    <flags>0x80403000</flags>
                    <flag-pcap>yes</flag-pcap>
                    <flag-flagged>no</flag-flagged>
                    <flag-proxy>no</flag-proxy>
                    <flag-url-denied>no</flag-url-denied>
                    <flag-nat>yes</flag-nat>
                    <captive-portal>no</captive-portal>
                    <non-std-dport>no</non-std-dport>
                    <transaction>no</transaction>
                    <pbf-c2s>no</pbf-c2s>
                    <pbf-s2c>no</pbf-s2c>
                    <temporary-match>yes</temporary-match>
                    <sym-return>no</sym-return>
                    <decrypt-mirror>no</decrypt-mirror>
                    <credential-detected>no</credential-detected>
                    <flag-mptcp-set>no</flag-mptcp-set>
                    <flag-tunnel-inspected>no</flag-tunnel-inspected>
                    <flag-recon-excluded>no</flag-recon-excluded>
                    <flag-wf-channel>no</flag-wf-channel>
                    <pktlog>1594032670-2348.pcap</pktlog>
                    <proto>tcp</proto>
                    <action>alert</action>
                    <tunnel>N/A</tunnel>
                    <tpadding>0</tpadding>
                    <cpadding>0</cpadding>
                    <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                    <dg_hier_level_1>11</dg_hier_level_1>
                    <dg_hier_level_2>0</dg_hier_level_2>
                    <dg_hier_level_3>0</dg_hier_level_3>
                    <dg_hier_level_4>0</dg_hier_level_4>
                    <device_name>PA-VM</device_name>
                    <vsys_id>1</vsys_id>
                    <tunnelid_imsi>0</tunnelid_imsi>
                    <parent_session_id>0</parent_session_id>
                    <threatid>Suspicious HTTP Evasion Found</threatid>
                    <tid>14984</tid>
                    <reportid>0</reportid>
                    <category>computer-and-internet-info</category>
                    <severity>informational</severity>
                    <direction>client-to-server</direction>
                    <url_idx>1</url_idx>
                    <padding>0</padding>
                    <pcap_id>1206408081198547007</pcap_id>
                    <contentver>AppThreat-0-0</contentver>
                    <sig_flags>0x0</sig_flags>
                    <thr_category>spyware</thr_category>
                    <assoc_id>0</assoc_id>
                    <ppid>4294967295</ppid>
                    <http2_connection>0</http2_connection>
                    <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                    <tunnelid>0</tunnelid>
                    <imsi/>
                    <monitortag/>
                    <imei/>
                </entry>
            </logs>
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha completado correctamente y se ha devuelto al menos un registro (is_success = true):
print "Se han mostrado correctamente {0} registros. Consulta usada: "{1}".format(log_type)

si se ha completado correctamente, pero no hay registros(is_success = false):
print "No se han encontrado registros de {0}. Consulta usada: '{1}' ".format(log_type, query)

Si la consulta es incorrecta (response status = error) (is_success=false):

print "No se ha podido enumerar los registros. Motivo: {0}".format(response/msg)

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas o no se puede conectar al servidor, otro:

print "Error al ejecutar la acción "Search Logs"." Motivo: {0}''.format(error.Stacktrace)

 General
Panel de casos de CSV (tráfico)

Nombre: Registros de tráfico

Columnas:

  • Hora de recepción (asignada como receive_time)
  • IP de origen (asignada como src)
  • IP de destino (asignada como dst)
  • Acción (asignada como acción)
  • Tipo (asignado como subtipo)
  • Aplicación (asignada como app)
Panel de casos de CSV (amenaza)

Nombre: Registros de amenazas

Columnas:

  • Hora de recepción (asignada como receive_time)
  • Descripción (asignada como threatID)
  • IP de origen (asignada como src)
  • IP de destino (asignada como dst)
  • Nombre (asignado como misc)
  • Tipo (asignado como subtipo)
  • Gravedad (asignada como gravedad)

Panel de casos CSV

Filtrado de URLs

Nombre: registros de filtrado de URLs

Columnas:

  • Hora de recepción (asignada como receive_time)
  • IP de origen (asignada como src)
  • IP de destino (asignada como dst)
  • URL (asignada como misc)
  • Categoría (asignada como categoría)
  • Gravedad (asignada como gravedad)
  • Acción (asignada como acción)

Panel de casos CSV

(Wildfire Submissions)

Nombre: Registros de envío de incendios forestales

Columnas:

  • Hora de recepción (asignada como receive_time)
  • Descripción (asignada como threatID)
  • IP de origen (asignada como src)
  • IP de destino (asignada como dst)
  • Nombre (asignado como misc)
  • Tipo (asignado como subtipo)
  • Gravedad (asignada como gravedad)
  • Acción (asignada como acción)
  • Hash (asignado como filedigest)
  • Tipo de archivo (asignado como filetype)

Panel de casos CSV

Filtrado de datos

Nombre: registros de filtrado de datos

Columnas:

  • Hora de recepción (asignada como receive_time)
  • Descripción (asignada como threatID)
  • IP de origen (asignada como src)
  • IP de destino (asignada como dst)
  • Nombre (asignado como misc)
  • Tipo (asignado como subtipo)
  • Gravedad (asignada como gravedad)
  • Acción (asignada como acción)

Panel de casos CSV

(Coincidencia de HIP)

Nombre: registros de coincidencias de HIP

Columnas:

  • Hora de recepción (asignada como receive_time)
  • IP (asignada como src)
  • HIP (asignado como matchname)
  • Número de repeticiones(asignado como repeatcnt)
  • Nombre del dispositivo (asignado como device_name)

Panel de casos CSV

(Etiqueta de IP)

Nombre: registros de etiquetas de IP

Columnas:

  • Hora de recepción (asignada como receive_time)
  • IP (asignada como ip)
  • Nombre de la etiqueta (asignado como tag_name)
  • Nombre del dispositivo (asignado como device_name)
  • ID de evento (asignado como event_id)

Panel de casos CSV

(ID de usuario)

Nombre: User ID Match Logs

Columnas:

  • Hora de recepción (asignada como receive_time)
  • IP (asignada como ip)
  • Usuario (asignado como usuario)
  • Nombre del dispositivo (asignado como device_name)
  • Tipo (asignado como subtipo)

Panel de casos CSV

(Inspección de túneles)

Nombre: registros de inspección de túneles

Columnas:

  • Hora de recepción (asignada como receive_time)
  • IP de origen (asignada como src)
  • IP de destino (asignada como dst)
  • Aplicación (asignada como aplicación)
  • Tipo (asignado como subtipo)
  • Gravedad (asignada como gravedad)
  • Acción (asignada como acción)

Panel de casos CSV

(Configuración)

Nombre: registros de configuración

Columnas:

  • Hora de recepción (asignada como receive_time)
  • Comando (asignado como cmd)
  • Administrador (asignado como administrador)
  • Nombre del dispositivo (asignado como device_name)

Panel de casos CSV

(Sistema)

Nombre: Registros del sistema

Columnas:

  • Hora de recepción (asignada como receive_time)
  • Nombre del dispositivo (asignado como device_name)
  • Tipo (asignado como subtipo)
  • Gravedad (asignada como gravedad)
  • Descripción (asignada como opaca)

Panel de casos CSV

(Autenticación)

Nombre: registros de autenticación

Columnas:

  • Hora de recepción (asignada como receive_time)
  • Nombre del dispositivo (asignado como device_name)
  • IP (asignada como ip)
  • Usuario (asignado como usuario)
  • Tipo (asignado como subtipo)
  • Gravedad (asignada como gravedad)
  • Descripción (asignada como desc)

Obtener el tráfico correlacionado entre IPs

La acción devuelve registros de tráfico de red correlacionados de Palo Alto Networks Panorama entre la dirección IP de origen y la dirección IP de destino.

Recomendaciones de guías

Para automatizar el proceso de recuperación del tráfico correlacionado entre dos IPs, usa el atributo Event.sourceAddress para la dirección IP de origen y Event.destinationAddress para la dirección IP de destino. Este método se recomienda para las alertas que solo tienen un evento de Google SecOps. En otros casos, pueden producirse resultados inesperados.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
IP de origen CSV N/A Especifica la IP de origen que se usará para obtener tráfico.
IP de destino CSV N/A Especifica la IP de destino que se usará para obtener tráfico.
Número máximo de horas hacia atrás Entero N/A No Especifica el número de horas desde el que quieres obtener los registros.
Número máximo de registros que se devolverán Entero 50 No Especifica cuántos registros quieres que se devuelvan. El máximo es 1000.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
     <logs count="1" progress="100">
                    <entry logid="28889">
                        <domain>0</domain>
                        <receive_time>2020/07/06 13:51:19</receive_time>
                        <serial>007051000096801</serial>
                        <seqno>21467</seqno>
                        <actionflags>0x0</actionflags>
                        <is-logging-service>no</is-logging-service>
                        <type>THREAT</type>
                        <subtype>spyware</subtype>
                        <config_ver>0</config_ver>
                        <time_generated>2020/07/06 13:51:10</time_generated>
                        <src>192.0.2.3</src>
                        <dst>198.51.100.254</dst>
                        <natsrc>203.0.113.4</natsrc>
                        <natdst>198.51.100.254</natdst>
                        <rule>inside to outside</rule>
                        <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                        <dstloc code="United States" cc="US">United States</dstloc>
                        <app>ms-update</app>
                        <vsys>vsys1</vsys>
                        <from>inside</from>
                        <to>Outside</to>
                        <inbound_if>ethernet1/2</inbound_if>
                        <outbound_if>ethernet1/1</outbound_if>
                        <logset>log forward1</logset>
                        <time_received>2020/07/06 13:51:10</time_received>
                        <sessionid>2348</sessionid>
                        <repeatcnt>1</repeatcnt>
                        <sport>56761</sport>
                        <dport>80</dport>
                        <natsport>45818</natsport>
                        <natdport>80</natdport>
                        <flags>0x80403000</flags>
                        <flag-pcap>yes</flag-pcap>
                        <flag-flagged>no</flag-flagged>
                        <flag-proxy>no</flag-proxy>
                        <flag-url-denied>no</flag-url-denied>
                        <flag-nat>yes</flag-nat>
                        <captive-portal>no</captive-portal>
                        <non-std-dport>no</non-std-dport>
                        <transaction>no</transaction>
                        <pbf-c2s>no</pbf-c2s>
                        <pbf-s2c>no</pbf-s2c>
                        <temporary-match>yes</temporary-match>
                        <sym-return>no</sym-return>
                        <decrypt-mirror>no</decrypt-mirror>
                        <credential-detected>no</credential-detected>
                        <flag-mptcp-set>no</flag-mptcp-set>
                        <flag-tunnel-inspected>no</flag-tunnel-inspected>
                        <flag-recon-excluded>no</flag-recon-excluded>
                        <flag-wf-channel>no</flag-wf-channel>
                        <pktlog>1594032670-2348.pcap</pktlog>
                        <proto>tcp</proto>
                        <action>alert</action>
                        <tunnel>N/A</tunnel>
                        <tpadding>0</tpadding>
                        <cpadding>0</cpadding>
                        <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                        <dg_hier_level_1>11</dg_hier_level_1>
                        <dg_hier_level_2>0</dg_hier_level_2>
                        <dg_hier_level_3>0</dg_hier_level_3>
                        <dg_hier_level_4>0</dg_hier_level_4>
                        <device_name>PA-VM</device_name>
                        <vsys_id>1</vsys_id>
                        <tunnelid_imsi>0</tunnelid_imsi>
                        <parent_session_id>0</parent_session_id>
                        <threatid>Suspicious HTTP Evasion Found</threatid>
                        <tid>14984</tid>
                        <reportid>0</reportid>
                        <category>computer-and-internet-info</category>
                        <severity>informational</severity>
                        <direction>client-to-server</direction>
                        <url_idx>1</url_idx>
                        <padding>0</padding>
                        <pcap_id>1206408081198547007</pcap_id>
                        <contentver>AppThreat-0-0</contentver>
                        <sig_flags>0x0</sig_flags>
                        <thr_category>spyware</thr_category>
                        <assoc_id>0</assoc_id>
                        <ppid>4294967295</ppid>
                        <http2_connection>0</http2_connection>
                        <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                        <tunnelid>0</tunnelid>
                        <imsi/>
                        <monitortag/>
                        <imei/>
                    </entry>
                </logs>
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

if successful for at least one pair(is_success = true):
print "Successfully listed correlated logs for the following pairs of Source and Destination IPs:\n.{0} - {1}".format(source IP, destination IP.)

Si no se ha podido completar la operación para determinados pares o pares incompletos (is_success = true):
print "Unable to list correlated logs for the following pairs of Source and Destination IPs:\n.{0} - {1}".format(source IP, destination IP. En el par incompleto, la parte que falta debe sustituirse por "N/A".

Si no hay registros de cada par(is_success = false):
print "No se han encontrado registros de tráfico de red correlacionados."

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas o no se puede conectar al servidor, otro:

print "Error al ejecutar la acción "Get Correlated Traffic Between IPs". Motivo: {0}''.format(error.Stacktrace)

 General
Panel de casos en formato CSV (para cada par)

Nombre: registros de tráfico entre {Source IP} y {Destination IP}

Columnas:

  • Hora de recepción (asignada como receive_time)
  • IP de origen (asignada como src)
  • IP de destino (asignada como destino)
  • Acción (asignada como acción)
  • Tipo (asignado como subtipo)
  • Aplicación (asignada como app)

Conectores

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Palo Alto Panorama - Conector de registro de amenazas

El conector ingiere registros de amenazas en función del filtro de consulta especificado y sus parámetros.

Permisos del conector

Para que el conector funcione correctamente, se necesitan los siguientes permisos:

Pestaña Permisos necesarios
UI web
  • Privacidad (todo)
  • Tasks
  • Global (todos)
API XML
  • Registro
  • Solicitudes operativas

Cómo usar el parámetro de conector Query Filter

El parámetro de conector Query Filter te permite personalizar los filtros que se usan para ingerir registros. De forma predeterminada, el conector usa un filtro de tiempo y un filtro de gravedad, pero es posible tener filtros más específicos.

A continuación, se muestra un ejemplo de una consulta utilizada por el conector:

{time_filter} and {severity_filter} and {custom_query_filter}

El valor que introduzcas en el parámetro de conector Query Filter se usa en {custom_query_filter}. Por ejemplo, si especifica el Query Filter con el atributo (subtype eq spyware), la consulta sería la siguiente:

(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del campo de producto Cadena Nombre del producto Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
Nombre del campo de evento Cadena subtype Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.

Nombre del campo de entorno

 Cadena "" No

Describe el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, el entorno es el predeterminado.

Patrón de expresión regular del entorno

 Cadena .* No

Un patrón de expresión regular que se aplica al valor encontrado en el campo Environment Field Name.

El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios.

Se usa para permitir que el usuario manipule el campo de entorno mediante la lógica de expresiones regulares.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos) Entero 180 Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API Cadena https://IP_ADDRESS/api Raíz de la API de la instancia de Palo Alto Networks Panorama.
Nombre de usuario Cadena N/A Nombre de usuario de la cuenta de Palo Alto Networks Panorama.
Contraseña Contraseña N/A Contraseña de la cuenta de Palo Alto Networks Panorama.
Filtro de consulta Cadena N/A No Especifica filtros adicionales en la consulta.
Gravedad mínima que se va a obtener Cadena N/A

Gravedad mínima que se usará para obtener los registros de amenazas. Valores posibles:

Informativa, Baja, Media, Alta o Crítica.

Fetch Max Hours Backwards Entero 1 No Número de horas desde las que se obtienen los registros.
Número máximo de registros que se pueden obtener Entero 25 No Número de registros que se procesarán por cada iteración del conector.
Usar la lista blanca como lista negra Casilla Desmarcada Si se habilita, la lista dinámica se usará como lista de bloqueo.
Verificar SSL Casilla Marcada Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Palo Alto Networks Panorama es válido.
Dirección del servidor proxy Cadena N/A No Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy Cadena N/A No Nombre de usuario del proxy para autenticarse.
Contraseña del proxy Contraseña N/A No La contraseña del proxy para autenticarte.

Reglas de conectores

El conector admite proxies.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.