Palo Alto Panorama

Dokumen ini memberikan panduan tentang cara mengintegrasikan Palo Alto Panorama dengan Google SecOps.

Mengintegrasikan Palo Alto Panorama dengan Google Security Operations

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Nama Instance String T/A Tidak Nama Instance yang ingin Anda konfigurasi integrasinya.
Deskripsi String T/A Tidak Deskripsi Instance.
Root API String https://IP_ADDRESS/api Ya Alamat instance Panorama Palo Alto Networks.
Nama pengguna String T/A Ya Nama pengguna yang harus digunakan untuk terhubung ke Palo Alto Networks Panorama.
Sandi Sandi T/A Ya Sandi pengguna yang sesuai.
Menjalankan dari Jarak Jauh Kotak centang Tidak dicentang Tidak Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen).

Tindakan

Beberapa tindakan dapat memerlukan konfigurasi tambahan seperti izin, nama perangkat, atau nama grup perangkat.

Izin tindakan

Agar tindakan dapat dieksekusi dengan benar, izin berikut diperlukan:

Tab Izin yang diperlukan
Konfigurasi Read & Write

Izin untuk mengambil atau mengubah konfigurasi Panorama dan firewall.
Permintaan Operasional Read & Write

Izin untuk menjalankan perintah operasional di Panorama dan firewall.
Commit Read & Write

Izin untuk melakukan konfigurasi Panorama dan firewall.

Mendapatkan nama perangkat atau nama grup perangkat

  • Untuk mendapatkan nama perangkat, gunakan link berikut:

    https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices

  • Untuk mendapatkan nama grup perangkat, gunakan link berikut:

    https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group

Menambahkan IP ke Grup

Tambahkan alamat IP ke grup alamat.

Parameter

Parameter Jenis Nilai Default Wajib Deskripsi
Nama Perangkat String T/A Ya Tentukan nama perangkat. Nama perangkat default untuk Palo Alto Networks Panorama adalah localhost.localdomain.
Nama Grup Perangkat String T/A Ya Tentukan nama grup perangkat.
Nama Grup Alamat String T/A Ya Tentukan nama grup alamat.

Dijalankan pada

Tindakan ini dijalankan pada entity Alamat IP.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

jika berhasil dan setidaknya satu IP yang diberikan telah ditambahkan (is_success = true):
print "Successfully added the following IPs to the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format (address_group, entity.identifier list)

Jika gagal menambahkan IP tertentu (is_success = true):

print "Action was not able to add the following IPs to the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Jika gagal menambahkan untuk semua IP (is_success = false):

Print: "No IPs were added to the Palo Alto Networks Panorama address group '{0}'.format(address_group)

 Umum

Memblokir IP dalam Kebijakan

Memblokir alamat IP dalam kebijakan tertentu.

Parameter

Parameter Jenis Nilai Default Wajib Deskripsi
Nama Perangkat String T/A Ya Tentukan nama perangkat. Nama perangkat default untuk Palo Alto Networks Panorama adalah localhost.localdomain.
Nama Grup Perangkat String T/A Ya Tentukan nama grup perangkat.
Nama Kebijakan String T/A Ya Tentukan nama kebijakan.
Target String T/A Ya Tentukan apa yang harus menjadi target. Kemungkinan nilai: source, destination.

Dijalankan pada

Tindakan ini dijalankan pada entity Alamat IP.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

jika berhasil dan setidaknya salah satu IP yang diberikan diblokir (is_success = true):
print "Successfully blocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Jika gagal memblokir IP tertentu (is_success = true):

print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Jika gagal menambahkan untuk semua IP (is_success = false):

Cetak: "Tidak ada IP yang diblokir dalam kebijakan Panorama Palo Alto Networks '{0}'.format(policy_name)

Umum

Memblokir URL

Menambahkan URL ke kategori URL tertentu.

Parameter

Parameter Jenis Nilai Default Wajib Deskripsi
Nama Perangkat String T/A Ya Tentukan nama perangkat. Nama perangkat default untuk Palo Alto Networks Panorama adalah localhost.localdomain.
Nama Grup Perangkat String T/A Ya Tentukan nama grup perangkat.
Nama Kategori URL String T/A Ya Tentukan nama Kategori URL.

Dijalankan pada

Tindakan ini dijalankan pada entity URL.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi nilai Contoh
is_success Benar/Salah

is_success:False
Hasil JSON
[
    "www.example.com"
]
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

jika berhasil dan setidaknya salah satu URL yang diberikan telah ditambahkan (is_success = true):
print "Successfully added the following URLs to the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Jika gagal menambahkan URL tertentu (is_success = true):

print "Action was not able to add the following URLs to the Palo Alto Networks Panorama URL Category''{0}':\n {1}". format(category, [entity.identifier])

Jika gagal ditambahkan untuk semua URL (is_success = false):

Print: "No URLs were added to the Palo Alto Networks Panorama URL Category '{0}'.format(category)

 Umum

Mengedit Aplikasi yang Diblokir

Memblokir dan membatalkan pemblokiran aplikasi. Setiap aplikasi ditambahkan ke atau dihapus dari kebijakan tertentu.

Parameter

Parameter Jenis Nilai Default Wajib Deskripsi
Aplikasi yang Akan Diblokir String T/A Tidak Tentukan jenis aplikasi yang harus diblokir. Contoh: apple-siri,windows-azure
Aplikasi yang Akan Berhenti Diblokir String T/A Tidak Tentukan jenis aplikasi yang harus diizinkan. Contoh: apple-siri,windows-azure
Nama Perangkat String T/A Ya Tentukan nama perangkat. Nama perangkat default untuk Palo Alto Networks Panorama adalah localhost.localdomain.
Nama Grup Perangkat String T/A Ya Tentukan nama grup perangkat.
Nama Kebijakan String T/A Ya Tentukan nama kebijakan.

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]

Mendapatkan Aplikasi yang Diblokir

Mencantumkan semua aplikasi yang diblokir dalam kebijakan tertentu.

Parameter

Parameter Jenis Nilai Default Wajib Deskripsi
Nama Perangkat String T/A Ya Tentukan nama perangkat. Nama perangkat default untuk Palo Alto Networks Panorama adalah localhost.localdomain.
Nama Grup Perangkat String T/A Ya Tentukan nama grup perangkat.
Nama Kebijakan String T/A Ya Tentukan nama kebijakan.

Terus Berjalan

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi nilai Contoh
blocked_applications T/A T/A
Hasil JSON
[
    "1und1-mail",
    "Filter",
    "Group1",
    "SiemplifyAppBlacklist",
    "apple-siri",
    "google-analytics"
]
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output* "Successfully listed blocked applications in a policy ''{0}: {1}".format(Policy name, \n separated list of applications) Umum

Ping

Uji konektivitas ke Panorama.

Parameter

T/A

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False

Lakukan Perubahan

Tindakan menerapkan perubahan di Palo Alto Networks Panorama.

Untuk menggunakan parameter Only My Changes, pengguna harus menjadi administrator.

Parameter

Parameter Jenis Nilai Default Wajib Deskripsi
Hanya Perubahan Saya Kotak centang Tidak dicentang Tidak Jika diaktifkan, tindakan hanya akan menerapkan perubahan yang dilakukan oleh pengguna saat ini.

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False

Mendorong Perubahan

Mendorong penerapan grup perangkat di Palo Alto Networks Panorama.

Perubahan dapat memerlukan waktu beberapa menit sebelum diterapkan.

Parameter

Parameter Jenis Nilai Default Wajib Deskripsi
Nama Grup Perangkat String T/A Ya Tentukan nama grup perangkat. Buka dokumentasi tindakan kunjungan untuk mendapatkan lebih banyak insight tentang tempat Anda dapat menemukan nilai ini.

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False

Menghapus IP dari Grup

Menghapus alamat IP dari grup alamat.

Parameter

Parameter Jenis Nilai Default Wajib Deskripsi
Nama Perangkat String T/A Ya Tentukan nama perangkat. Nama perangkat default untuk Palo Alto Networks Panorama adalah localhost.localdomain.
Nama Grup Perangkat String T/A Ya Tentukan nama grup perangkat.
Nama Grup Alamat String T/A Ya Tentukan nama grup alamat.

Dijalankan pada

Tindakan ini dijalankan pada entity Alamat IP.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

jika berhasil dan setidaknya salah satu IP yang diberikan dihapus (is_success = true):
print "Successfully removed the following IPs from the Palo Alto Networks Panorama address group ''{0}'': \n {1}".format(address_group, entity.identifier list)

Jika gagal menghapus IP tertentu (is_success = true):

print "Action was not able to remove the following IPs from the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier])

Jika gagal menghapus untuk semua IP (is_success = false):

Cetak: "No IPs were removed from the Palo Alto Networks Panorama address group '{0}'.format(address_group)

 Umum

Membatalkan pemblokiran IP dalam Kebijakan

Memblokir alamat IP dalam kebijakan tertentu.

Parameter

Parameter Jenis Nilai Default Wajib Deskripsi
Nama Perangkat String T/A Ya Tentukan nama perangkat. Nama perangkat default untuk Palo Alto Networks Panorama adalah localhost.localdomain.
Nama Grup Perangkat String T/A Ya Tentukan nama grup perangkat.
Nama Kebijakan String T/A Ya Tentukan nama kebijakan.
Target String T/A Ya Tentukan apa yang harus menjadi target. Kemungkinan nilai: source, destination.

Dijalankan pada

Tindakan ini dijalankan pada entity Alamat IP.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    "192.0.2.1",
    "203.0.113.1"
]
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

jika berhasil dan setidaknya salah satu IP yang diberikan tidak diblokir (is_success = true):
print "Successfully unblocked the following IPs in the Palo Alto Networks Panorama policy ''{0}'': \n {1}".format(policy_name, entity.identifier list)

Jika gagal memblokir IP tertentu (is_success = true):

print "Action was not able to unblock the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier])

Jika gagal menambahkan untuk semua IP (is_success = false):

Cetak: "Tidak ada IP yang dibatalkan pemblokirannya dalam kebijakan Panorama Palo Alto Networks '{0}'.format(policy_name)

Umum

Membatalkan pemblokiran URL

Menghapus URL dari kategori URL tertentu.

Parameter

Parameter Jenis Nilai Default Wajib Deskripsi
Nama Perangkat String T/A Ya Tentukan nama perangkat. Nama perangkat default untuk Palo Alto Networks Panorama adalah localhost.localdomain.
Nama Grup Perangkat String T/A Ya Tentukan nama grup perangkat.
Nama Kategori URL String T/A Ya Tentukan nama Kategori URL.

Dijalankan pada

Tindakan ini dijalankan pada entity URL.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah

is_success:False
Hasil JSON
[
    "www.example.com"
]
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

jika berhasil dan setidaknya salah satu URL yang diberikan dihapus (is_success = true):
print "Successfully removed the following URLs from the Palo Alto Networks Panorama URL Category ''{0}'': \n {1}".format(category, entity.identifier list)

Jika gagal menambahkan URL tertentu (is_success = true):

print "Action was not able to remove the following URLs from the Palo Alto Networks Panorama URL Category''{0}':\n {1}".format(category, [entity.identifier])

Jika gagal menambahkan untuk semua URL (is_success = false):

Cetak: "No URLs were removed from the Palo Alto Networks Panorama URL Category '{0}'.format(category)

 Umum

Menelusuri Log

Telusuri log di Palo Alto Networks Panorama berdasarkan kueri.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Jenis Log DDL Traffic Ya

Tentukan jenis log yang harus ditampilkan.

Kemungkinan nilai: Traffic, Threat, URL Filtering, WildFire Submissions, Data Filtering, HIP Match, IP Tag, User ID, Tunnel Inspection, Configuration, System, Authentication.
Kueri String T/A Tidak Tentukan filter kueri yang harus digunakan untuk menampilkan log.
Maks. Jam Mundur Bilangan bulat T/A Tidak Tentukan jumlah jam dari tempat pengambilan log.
Jumlah Maksimum Log yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah log yang akan ditampilkan. Jumlah maksimumnya adalah 1000.

Dijalankan pada

Tindakan ini tidak dijalankan pada entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
  <logs count="1" progress="100">
                <entry logid="28889">
                    <domain>0</domain>
                    <receive_time>2020/07/06 13:51:19</receive_time>
                    <serial>007051000096801</serial>
                    <seqno>21467</seqno>
                    <actionflags>0x0</actionflags>
                    <is-logging-service>no</is-logging-service>
                    <type>THREAT</type>
                    <subtype>spyware</subtype>
                    <config_ver>0</config_ver>
                    <time_generated>2020/07/06 13:51:10</time_generated>
                    <src>192.0.2.1</src>
                    <dst>203.0.113.254</dst>
                    <natsrc>198.51.100.4</natsrc>
                    <natdst>203.0.113.254</natdst>
                    <rule>inside to outside</rule>
                    <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                    <dstloc code="United States" cc="US">United States</dstloc>
                    <app>ms-update</app>
                    <vsys>vsys1</vsys>
                    <from>inside</from>
                    <to>Outside</to>
                    <inbound_if>ethernet1/2</inbound_if>
                    <outbound_if>ethernet1/1</outbound_if>
                    <logset>log forward1</logset>
                    <time_received>2020/07/06 13:51:10</time_received>
                    <sessionid>2348</sessionid>
                    <repeatcnt>1</repeatcnt>
                    <sport>56761</sport>
                    <dport>80</dport>
                    <natsport>45818</natsport>
                    <natdport>80</natdport>
                    <flags>0x80403000</flags>
                    <flag-pcap>yes</flag-pcap>
                    <flag-flagged>no</flag-flagged>
                    <flag-proxy>no</flag-proxy>
                    <flag-url-denied>no</flag-url-denied>
                    <flag-nat>yes</flag-nat>
                    <captive-portal>no</captive-portal>
                    <non-std-dport>no</non-std-dport>
                    <transaction>no</transaction>
                    <pbf-c2s>no</pbf-c2s>
                    <pbf-s2c>no</pbf-s2c>
                    <temporary-match>yes</temporary-match>
                    <sym-return>no</sym-return>
                    <decrypt-mirror>no</decrypt-mirror>
                    <credential-detected>no</credential-detected>
                    <flag-mptcp-set>no</flag-mptcp-set>
                    <flag-tunnel-inspected>no</flag-tunnel-inspected>
                    <flag-recon-excluded>no</flag-recon-excluded>
                    <flag-wf-channel>no</flag-wf-channel>
                    <pktlog>1594032670-2348.pcap</pktlog>
                    <proto>tcp</proto>
                    <action>alert</action>
                    <tunnel>N/A</tunnel>
                    <tpadding>0</tpadding>
                    <cpadding>0</cpadding>
                    <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                    <dg_hier_level_1>11</dg_hier_level_1>
                    <dg_hier_level_2>0</dg_hier_level_2>
                    <dg_hier_level_3>0</dg_hier_level_3>
                    <dg_hier_level_4>0</dg_hier_level_4>
                    <device_name>PA-VM</device_name>
                    <vsys_id>1</vsys_id>
                    <tunnelid_imsi>0</tunnelid_imsi>
                    <parent_session_id>0</parent_session_id>
                    <threatid>Suspicious HTTP Evasion Found</threatid>
                    <tid>14984</tid>
                    <reportid>0</reportid>
                    <category>computer-and-internet-info</category>
                    <severity>informational</severity>
                    <direction>client-to-server</direction>
                    <url_idx>1</url_idx>
                    <padding>0</padding>
                    <pcap_id>1206408081198547007</pcap_id>
                    <contentver>AppThreat-0-0</contentver>
                    <sig_flags>0x0</sig_flags>
                    <thr_category>spyware</thr_category>
                    <assoc_id>0</assoc_id>
                    <ppid>4294967295</ppid>
                    <http2_connection>0</http2_connection>
                    <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                    <tunnelid>0</tunnelid>
                    <imsi/>
                    <monitortag/>
                    <imei/>
                </entry>
            </logs>
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

jika berhasil dan menampilkan setidaknya satu log (is_success = true):
print "Successfully listed {0} logs. Kueri yang digunakan: '{1}' ".format(log_type)

jika berhasil, tetapi tidak ada log(is_success = false):
print "No {0} logs were found. Digunakan query: '{1}' ".format(log_type, query)

Jika kueri salah (status respons = error) (is_success=false):

print "Tindakan tidak dapat mencantumkan log. Alasan: {0}".format(response/msg)

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya:

print "Error executing action "Search Logs". Alasan: {0}''.format(error.Stacktrace)

 Umum
Repositori Kasus CSV (Traffic)

Nama: Log Traffic

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • IP Src (dipetakan sebagai src)
  • IP Tujuan (dipetakan sebagai dst)
  • Tindakan (dipetakan sebagai tindakan)
  • Jenis (dipetakan sebagai subjenis)
  • Aplikasi (dipetakan sebagai aplikasi)
Repositori Kasus CSV (Ancaman)

Nama: Log Ancaman

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • Deskripsi (dipetakan sebagai threatID)
  • IP Src (dipetakan sebagai src)
  • IP Tujuan (dipetakan sebagai dst)
  • Nama (dipetakan sebagai lain-lain)
  • Jenis (dipetakan sebagai subjenis)
  • Tingkat keparahan (dipetakan sebagai tingkat keparahan)

Repositori Kasus CSV

(Pemfilteran URL)

Nama: Log Pemfilteran URL

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • IP Src (dipetakan sebagai src)
  • IP Tujuan (dipetakan sebagai dst)
  • URL (dipetakan sebagai lain-lain)
  • Kategori (dipetakan sebagai kategori)
  • Tingkat keparahan (dipetakan sebagai tingkat keparahan)
  • Tindakan (dipetakan sebagai tindakan)

Repositori Kasus CSV

(Kiriman Kebakaran Hutan)

Nama: Log Pengiriman Kebakaran Hutan

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • Deskripsi (dipetakan sebagai threatID)
  • IP Src (dipetakan sebagai src)
  • IP Tujuan (dipetakan sebagai dst)
  • Nama (dipetakan sebagai lain-lain)
  • Jenis (dipetakan sebagai subjenis)
  • Tingkat keparahan (dipetakan sebagai tingkat keparahan)
  • Tindakan (dipetakan sebagai tindakan)
  • Hash (dipetakan sebagai filedigest)
  • Jenis File (dipetakan sebagai filetype)

Repositori Kasus CSV

(Pemfilteran Data)

Nama: Log Pemfilteran Data

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • Deskripsi (dipetakan sebagai threatID)
  • IP Src (dipetakan sebagai src)
  • IP Tujuan (dipetakan sebagai dst)
  • Nama (dipetakan sebagai lain-lain)
  • Jenis (dipetakan sebagai subjenis)
  • Tingkat keparahan (dipetakan sebagai tingkat keparahan)
  • Tindakan (dipetakan sebagai tindakan)

Repositori Kasus CSV

(HIP Match)

Nama: Log Pencocokan HIP

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • IP (dipetakan sebagai src)
  • HIP (dipetakan sebagai matchname)
  • Jumlah Pengulangan(dipetakan sebagai repeatcnt)
  • Nama Perangkat (dipetakan sebagai device_name)

Repositori Kasus CSV

(Tag IP)

Nama: Log Tag IP

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • IP (dipetakan sebagai ip)
  • Nama Tag (dipetakan sebagai tag_name)
  • Nama Perangkat (dipetakan sebagai device_name)
  • ID Acara (dipetakan sebagai event_id)

Repositori Kasus CSV

(ID Pengguna)

Nama: Log Pencocokan ID Pengguna

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • IP (dipetakan sebagai ip)
  • Pengguna (dipetakan sebagai pengguna)
  • Nama Perangkat (dipetakan sebagai device_name)
  • Jenis (dipetakan sebagai subjenis)

Repositori Kasus CSV

(Pemeriksaan Terowongan)

Nama: Log Inspeksi Tunnel

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • IP Src (dipetakan sebagai src)
  • IP Tujuan (dipetakan sebagai dst)
  • Aplikasi (dipetakan sebagai aplikasi)
  • Jenis (dipetakan sebagai subjenis)
  • Tingkat keparahan (dipetakan sebagai tingkat keparahan)
  • Tindakan (dipetakan sebagai tindakan)

Repositori Kasus CSV

(Konfigurasi)

Nama: Log Konfigurasi

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • Perintah (dipetakan sebagai cmd)
  • Admin (dipetakan sebagai admin)
  • Nama Perangkat (dipetakan sebagai device_name)

Repositori Kasus CSV

(Sistem)

Nama: Log Sistem

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • Nama Perangkat (dipetakan sebagai device_name)
  • Jenis (dipetakan sebagai subjenis)
  • Tingkat keparahan (dipetakan sebagai tingkat keparahan)
  • Deskripsi (dipetakan sebagai buram)

Repositori Kasus CSV

(Autentikasi)

Nama: Log Autentikasi

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • Device Name (dipetakan sebagai device_name)
  • IP (dipetakan sebagai ip)
  • Pengguna (dipetakan sebagai pengguna)
  • Jenis (dipetakan sebagai subjenis)
  • Tingkat keparahan (dipetakan sebagai severity)
  • Deskripsi (dipetakan sebagai desc)

Mendapatkan Traffic yang Berkorelasi Antar-IP

Tindakan ini menampilkan log traffic jaringan yang berkorelasi dari Palo Alto Networks Panorama antara alamat IP sumber dan alamat IP tujuan.

Rekomendasi playbook

Untuk mengotomatiskan proses pengambilan traffic yang berkorelasi antara dua IP, gunakan atribut Event.sourceAddress untuk alamat IP sumber dan Event.destinationAddress untuk alamat IP tujuan. Pendekatan ini direkomendasikan untuk pemberitahuan yang hanya memiliki satu peristiwa Google SecOps. Dalam kasus lain, hasil yang tidak terduga dapat terjadi.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
IP Sumber CSV T/A Ya Tentukan IP sumber yang akan digunakan untuk mendapatkan traffic.
IP tujuan CSV T/A Ya Tentukan IP tujuan yang akan digunakan untuk mendapatkan traffic.
Maks. Jam Mundur Bilangan bulat T/A Tidak Tentukan jumlah jam dari tempat pengambilan log.
Jumlah Maksimum Log yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah log yang akan ditampilkan. Jumlah maksimumnya adalah 1000.

Dijalankan pada

Tindakan ini tidak dijalankan pada entity.

Hasil tindakan

Hasil skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
     <logs count="1" progress="100">
                    <entry logid="28889">
                        <domain>0</domain>
                        <receive_time>2020/07/06 13:51:19</receive_time>
                        <serial>007051000096801</serial>
                        <seqno>21467</seqno>
                        <actionflags>0x0</actionflags>
                        <is-logging-service>no</is-logging-service>
                        <type>THREAT</type>
                        <subtype>spyware</subtype>
                        <config_ver>0</config_ver>
                        <time_generated>2020/07/06 13:51:10</time_generated>
                        <src>192.0.2.3</src>
                        <dst>198.51.100.254</dst>
                        <natsrc>203.0.113.4</natsrc>
                        <natdst>198.51.100.254</natdst>
                        <rule>inside to outside</rule>
                        <srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
                        <dstloc code="United States" cc="US">United States</dstloc>
                        <app>ms-update</app>
                        <vsys>vsys1</vsys>
                        <from>inside</from>
                        <to>Outside</to>
                        <inbound_if>ethernet1/2</inbound_if>
                        <outbound_if>ethernet1/1</outbound_if>
                        <logset>log forward1</logset>
                        <time_received>2020/07/06 13:51:10</time_received>
                        <sessionid>2348</sessionid>
                        <repeatcnt>1</repeatcnt>
                        <sport>56761</sport>
                        <dport>80</dport>
                        <natsport>45818</natsport>
                        <natdport>80</natdport>
                        <flags>0x80403000</flags>
                        <flag-pcap>yes</flag-pcap>
                        <flag-flagged>no</flag-flagged>
                        <flag-proxy>no</flag-proxy>
                        <flag-url-denied>no</flag-url-denied>
                        <flag-nat>yes</flag-nat>
                        <captive-portal>no</captive-portal>
                        <non-std-dport>no</non-std-dport>
                        <transaction>no</transaction>
                        <pbf-c2s>no</pbf-c2s>
                        <pbf-s2c>no</pbf-s2c>
                        <temporary-match>yes</temporary-match>
                        <sym-return>no</sym-return>
                        <decrypt-mirror>no</decrypt-mirror>
                        <credential-detected>no</credential-detected>
                        <flag-mptcp-set>no</flag-mptcp-set>
                        <flag-tunnel-inspected>no</flag-tunnel-inspected>
                        <flag-recon-excluded>no</flag-recon-excluded>
                        <flag-wf-channel>no</flag-wf-channel>
                        <pktlog>1594032670-2348.pcap</pktlog>
                        <proto>tcp</proto>
                        <action>alert</action>
                        <tunnel>N/A</tunnel>
                        <tpadding>0</tpadding>
                        <cpadding>0</cpadding>
                        <rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
                        <dg_hier_level_1>11</dg_hier_level_1>
                        <dg_hier_level_2>0</dg_hier_level_2>
                        <dg_hier_level_3>0</dg_hier_level_3>
                        <dg_hier_level_4>0</dg_hier_level_4>
                        <device_name>PA-VM</device_name>
                        <vsys_id>1</vsys_id>
                        <tunnelid_imsi>0</tunnelid_imsi>
                        <parent_session_id>0</parent_session_id>
                        <threatid>Suspicious HTTP Evasion Found</threatid>
                        <tid>14984</tid>
                        <reportid>0</reportid>
                        <category>computer-and-internet-info</category>
                        <severity>informational</severity>
                        <direction>client-to-server</direction>
                        <url_idx>1</url_idx>
                        <padding>0</padding>
                        <pcap_id>1206408081198547007</pcap_id>
                        <contentver>AppThreat-0-0</contentver>
                        <sig_flags>0x0</sig_flags>
                        <thr_category>spyware</thr_category>
                        <assoc_id>0</assoc_id>
                        <ppid>4294967295</ppid>
                        <http2_connection>0</http2_connection>
                        <misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
                        <tunnelid>0</tunnelid>
                        <imsi/>
                        <monitortag/>
                        <imei/>
                    </entry>
                </logs>
Repositori kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

jika berhasil untuk setidaknya satu pasangan(is_success = true):
print "Successfully listed correlated logs for the following pairs of Source and Destination IPs:\n.{0} - {1}".format(IP sumber, IP tujuan.)

jika tidak berhasil untuk pasangan tertentu atau pasangan tidak lengkap (is_success = true):
print "Unable to list correlated logs for the following pairs of Source and Destination IPs:\n.{0} - {1}".format(source IP, destination IP. Pada pasangan yang tidak lengkap, bagian yang hilang harus diganti dengan "T/A")

jika tidak ada log untuk setiap pasangan(is_success = false):
print "No correlated network traffic logs were found".

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya:

print "Error executing action "Get Correlated Traffic Between IPs". Reason: {0}''.format(error.Stacktrace)

 Umum
Repositori Kasus CSV (Untuk setiap pasangan)

Nama: Log Traffic antara {IP Sumber} dan {IP Tujuan}

Kolom:

  • Waktu Penerimaan (dipetakan sebagai receive_time)
  • IP Src (dipetakan sebagai src)
  • Dst IP (dipetakan sebagai dst)
  • Tindakan (dipetakan sebagai tindakan)
  • Jenis (dipetakan sebagai subjenis)
  • Aplikasi (dipetakan sebagai aplikasi)

Konektor

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Palo Alto Panorama - Threat Log Connector

Konektor menyerap log ancaman berdasarkan filter kueri yang ditentukan dan parameternya.

Izin konektor

Agar konektor berfungsi dengan baik, izin berikut diperlukan:

Tab Izin yang diperlukan
UI Web
  • Privasi (semua)
  • Tasks
  • Global (semua)
XML API
  • Log
  • Permintaan Operasional

Cara menggunakan parameter konektor Query Filter

Parameter konektor Query Filter memungkinkan Anda menyesuaikan filter yang digunakan untuk menyerap log. Secara default, konektor menggunakan filter waktu dan filter tingkat keparahan, tetapi filter yang lebih spesifik dapat diterapkan.

Contoh kueri yang digunakan oleh konektor adalah sebagai berikut:

{time_filter} and {severity_filter} and {custom_query_filter}

Nilai yang Anda masukkan dalam parameter konektor Query Filter digunakan dalam {custom_query_filter}. Misalnya, jika Anda menentukan Query Filter dengan atribut (subtype eq spyware), contoh kuerinya adalah sebagai berikut:

(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Nama Kolom Produk String Nama Produk Ya Masukkan nama kolom sumber untuk mengambil nama Kolom Produk.
Nama Kolom Peristiwa String subtype Ya Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa.

Nama Kolom Lingkungan

 String "" Tidak

Mendeskripsikan nama kolom tempat nama lingkungan disimpan.

Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default.

Pola Regex Lingkungan

 String .* Tidak

Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name.

Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan.

Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan menggunakan logika ekspresi reguler.

Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik) Bilangan bulat 180 Ya Batas waktu untuk proses python yang menjalankan skrip saat ini.
Root API String https://IP_ADDRESS/api Ya Root API instance Panorama Palo Alto Networks.
Nama pengguna String T/A Ya Nama pengguna akun Panorama Palo Alto Networks.
Sandi Sandi T/A Ya Sandi akun Palo Alto Networks Panorama.
Filter Kueri String T/A Tidak Tentukan filter tambahan dalam kueri.
Tingkat Keparahan Terendah yang Akan Diambil String T/A Ya

Tingkat keparahan terendah yang akan digunakan untuk mengambil log ancaman. Nilai yang mungkin:

Informasi, Rendah, Sedang, Tinggi, Kritis.

Mengambil Mundur Jam Maksimum Bilangan bulat 1 Tidak Jumlah jam dari tempat pengambilan log.
Jumlah Log Maksimal yang Akan Diambil Bilangan bulat 25 Tidak Jumlah log yang akan diproses per iterasi konektor.
Menggunakan daftar yang diizinkan sebagai daftar blokir Kotak centang Tidak dicentang Ya Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar yang tidak diizinkan.
Verifikasi SSL Kotak centang Dicentang Ya Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Panorama Palo Alto Networks valid.
Alamat Server Proxy String T/A Tidak Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy String T/A Tidak Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy Sandi T/A Tidak Sandi proxy untuk mengautentikasi.

Aturan konektor

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.