パロアルト パノラマ
統合バージョン: 29.0
Palo Alto Panorama と Google Security Operations を統合する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://IP_ADDRESS/api |
○ | パロアルト ネットワーク パノラマ インスタンスのアドレス。 |
| ユーザー名 | 文字列 | なし | はい | パロアルト ネットワーク パノラマへの接続に使用するユーザー名。 |
| パスワード | パスワード | なし | ○ | 対応するユーザーのパスワード。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
アクションによっては、権限、デバイス名、デバイス グループ名などの追加の構成が必要になる場合があります。
アクション権限
アクションを正しく実行するには、次の権限が必要です。
| Tab | 必要な権限 |
|---|---|
| 構成 | 読み取りと書き込み Panorama とファイアウォールの構成を取得または変更する権限。 |
| 運用上のリクエスト | 読み取りと書き込み Panorama とファイアウォールでオペレーション コマンドを実行する権限。 |
| commit | 読み取りと書き込み Panorama とファイアウォールの構成を commit する権限。 |
デバイス名またはデバイス グループ名を取得する
デバイス名を取得するには、次のリンクを使用します。
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devicesデバイス グループ名を取得するには、次のリンクを使用します。
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group
グループに IP を追加する
アドレス グループに IP アドレスを追加します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| デバイス名 | 文字列 | なし | ○ | デバイスの名前を指定します。パロアルト ネットワーク パノラマ のデフォルトのデバイス名は localhost.localdomain です。 |
| デバイス グループ名 | 文字列 | なし | はい | デバイス グループの名前を指定します。 |
| アドレス グループ名 | 文字列 | なし | ○ | アドレス グループの名前を指定します。 |
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
"192.0.2.1",
"203.0.113.1"
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功し、指定された IP の少なくとも 1 つが追加された場合(is_success = true): 特定の IP の追加に失敗した場合(is_success = true): 「アクションがパロアルト ネットワーク パノラマ アドレス グループ ''{0}':\n {1}".format(address_group, [entity.identifier]) に以下の IP を追加できませんでした。」を印刷します。 すべての IP の追加に失敗した場合(is_success = false): 印刷: 「パロアルト ネットワーク パノラマ アドレス グループ '{0}'.format(address_group) に IP が追加されませんでした」 |
全般 |
ポリシーで IP をブロックする
特定のポリシーで IP アドレスをブロックします。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| デバイス名 | 文字列 | なし | ○ | デバイスの名前を指定します。パロアルト ネットワーク パノラマ のデフォルトのデバイス名は localhost.localdomain です。 |
| デバイス グループ名 | 文字列 | なし | はい | デバイス グループの名前を指定します。 |
| ポリシー名 | 文字列 | なし | ○ | ポリシーの名前を指定します。 |
| ターゲット | 文字列 | なし | ○ | ターゲットを指定します。有効な値: source、destination。 |
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
"192.0.2.1",
"203.0.113.1"
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功し、指定された IP の少なくとも 1 つがブロックされた場合(is_success = true): 特定の IP のブロックに失敗した場合(is_success = true): 「アクションは以下の IP をパロアルト ネットワーク パノラマ ポリシー ''{0}':\n {1}".format(policy_name, [entity.identifier]) でブロックできませんでした」を印刷します。 すべての IP の追加に失敗した場合(is_success = false): 印刷: 「パロアルト ネットワーク パノラマ ポリシー '{0}'.format(policy_name) で IP はブロックされませんでした」 |
全般 |
URL をブロック
指定された URL カテゴリに URL を追加します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| デバイス名 | 文字列 | なし | ○ | デバイスの名前を指定します。パロアルト ネットワーク パノラマ のデフォルトのデバイス名は localhost.localdomain です。 |
| デバイス グループ名 | 文字列 | なし | はい | デバイス グループの名前を指定します。 |
| URL カテゴリ名 | 文字列 | なし | ○ | URL カテゴリの名前を指定します。 |
実行
このアクションは URL エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
"www.example.com"
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功し、指定された URL の少なくとも 1 つが追加された場合(is_success = true): 特定の URL の追加に失敗した場合(is_success = true): 「アクションがパロアルト ネットワーク パノラマ URL カテゴリ ''{0}':\n {1}". format(category, [entity.identifier]) に以下の URL を追加できませんでした。」を印刷します。 すべての URL の追加に失敗した場合(is_success = false): 印刷: 「パロアルト ネットワーク パノラマ URL カテゴリ「{0}」.format(category) に URL が追加されませんでした |
全般 |
ブロックされたアプリケーションを編集する
アプリケーションをブロックまたはブロック解除します。各アプリケーションを特定のポリシーに追加または削除します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ブロックするアプリケーション | 文字列 | なし | いいえ | ブロックするアプリケーションの種類を指定します。例: apple-siri,windows-azure |
| ブロックを解除するアプリケーション | 文字列 | なし | いいえ | ブロックを解除するアプリケーションの種類を指定します。例: apple-siri,windows-azure |
| デバイス名 | 文字列 | なし | ○ | デバイスの名前を指定します。パロアルト ネットワーク パノラマ のデフォルトのデバイス名は localhost.localdomain です。 |
| デバイス グループ名 | 文字列 | なし | はい | デバイス グループの名前を指定します。 |
| ポリシー名 | 文字列 | なし | ○ | ポリシーの名前を指定します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
ブロックされたアプリケーションを取得する
指定されたポリシーでブロックされているすべてのアプリケーションを一覧表示します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| デバイス名 | 文字列 | なし | ○ | デバイスの名前を指定します。パロアルト ネットワーク パノラマ のデフォルトのデバイス名は localhost.localdomain です。 |
| デバイス グループ名 | 文字列 | なし | はい | デバイス グループの名前を指定します。 |
| ポリシー名 | 文字列 | なし | ○ | ポリシーの名前を指定します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| blocked_applications | なし | なし |
JSON の結果
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 「ポリシー ''{0}: {1}".format(Policy name, \n separated list of applications) にブロックされたアプリケーションが正常に一覧表示されました | 全般 |
Ping
Panorama への接続性をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
変更を commit
パロアルト ネットワーク パノラマでアクションが変更を commit します。
Only My Changes パラメータを使用するには、ユーザーが管理者である必要があります。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| 自分の変更のみ | チェックボックス | オフ | いいえ | 有効にした場合、アクションは現在のユーザーが行った変更のみをコミットします。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
変更を push
パロアルト ネットワーク パノラマでデバイス グループの commit を push します。
変更がプッシュされるまでに数分かかることがあります。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| デバイス グループ名 | 文字列 | なし | ○ | デバイス グループの名前を指定します。この値を確認できる場所について詳しくは、アクションのドキュメントをご覧ください。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
グループから IP を削除する
アドレス グループから IP アドレスを削除します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| デバイス名 | 文字列 | なし | ○ | デバイスの名前を指定します。パロアルト ネットワーク パノラマ のデフォルトのデバイス名は localhost.localdomain です。 |
| デバイス グループ名 | 文字列 | なし | はい | デバイス グループの名前を指定します。 |
| アドレス グループ名 | 文字列 | なし | ○ | アドレス グループの名前を指定します。 |
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
"192.0.2.1",
"203.0.113.1"
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功し、指定された IP の少なくとも 1 つが削除された場合(is_success = true): 特定の IP の削除に失敗した場合(is_success = true): 「アクションがパロアルト ネットワーク パノラマ アドレス グループ ''{0}':\n {1}".format(address_group, [entity.identifier]) から以下の IP を削除できませんでした。」を印刷します。 すべての IP の削除に失敗した場合(is_success = false): 印刷: 「パロアルト ネットワーク パノラマ アドレス グループ '{0}'.format(address_group) から IP が削除されませんでした」 |
全般 |
ポリシーで IP のブロックを解除する
特定のポリシーで IP アドレスをブロックします。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| デバイス名 | 文字列 | なし | ○ | デバイスの名前を指定します。パロアルト ネットワーク パノラマ のデフォルトのデバイス名は localhost.localdomain です。 |
| デバイス グループ名 | 文字列 | なし | はい | デバイス グループの名前を指定します。 |
| ポリシー名 | 文字列 | なし | ○ | ポリシーの名前を指定します。 |
| ターゲット | 文字列 | なし | ○ | ターゲットを指定します。有効な値: source、destination。 |
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
"192.0.2.1",
"203.0.113.1"
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功し、指定された IP の少なくとも 1 つがブロック解除された場合(is_success = true): 特定の IP のブロックに失敗した場合(is_success = true): 「アクションは以下の IP をパロアルト ネットワーク パノラマ ポリシー ''{0}':\n {1}".format(policy_name, [entity.identifier]) でブロック解除できませんでした」を印刷します。 すべての IP の追加に失敗した場合(is_success = false): 印刷: 「パロアルト ネットワーク パノラマ ポリシー '{0}'.format(policy_name) で IP はブロック解除されませんでした」 |
全般 |
URL のブロックを解除する
指定された URL カテゴリから URL を削除します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| デバイス名 | 文字列 | なし | ○ | デバイスの名前を指定します。パロアルト ネットワーク パノラマ のデフォルトのデバイス名は localhost.localdomain です。 |
| デバイス グループ名 | 文字列 | なし | はい | デバイス グループの名前を指定します。 |
| URL カテゴリ名 | 文字列 | なし | ○ | URL カテゴリの名前を指定します。 |
実行
このアクションは URL エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
"www.example.com"
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功し、指定された URL の少なくとも 1 つが削除された場合(is_success = true): 特定の URL の追加に失敗した場合(is_success = true): 「アクションがパロアルト ネットワーク パノラマ URL カテゴリ ''{0}':\n {1}".format(category, [entity.identifier]) から以下の URL を削除できませんでした。」を印刷します。
すべての URL の追加に失敗した場合(is_success = false): 印刷: 「パロアルト ネットワーク パノラマ URL カテゴリ '{0}'.format(category) から URL が削除されませんでした」 |
全般 |
検索ログ
クエリに基づいてパロアルト ネットワーク パノラマでログを検索します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ログタイプ | DDL | トラフィック | ○ | 返すログの種類を指定します。 可能な値: Traffic、Threat、URL Filtering、WildFire Submissions、Data Filtering、HIP Match、IP Tag、User ID、Tunnel Inspection、Configuration、System、Authentication。 |
| クエリ | 文字列 | なし | いいえ | ログを返すために使用するクエリ フィルタを指定します。 |
| 最大遡及時間 | 整数 | なし | いいえ | ログを取得する時間数を指定します。 |
| 返すログの最大数 | 整数 | 50 | いいえ | 返すログの数を指定します。最大値は 1000 です。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.1</src>
<dst>203.0.113.254</dst>
<natsrc>198.51.100.4</natsrc>
<natdst>203.0.113.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、1 つ以上のログが返された場合(is_success = true): 成功したが、ログがない場合(is_success = false): クエリが正しくない場合(レスポンス ステータス = エラー)(is_success=false): 「アクションはログを表示できませんでした」を印刷します。理由: {0}」.format(response/msg) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「ログの検索」を印刷します。理由: {0}''.format(error.Stacktrace) |
全般 |
| CSV ケースウォール(トラフィック) | 名前: トラフィック ログ 列:
|
|
| CSV ケースウォール(脅威) | 名前: 脅威ログ 列:
|
|
CSV ケースウォール (URL のフィルタリング) |
名前: URL フィルタリング ログ 列:
|
|
CSV ケースウォール (Wildfire の送信) |
[名前]: Wildfire の送信ログ 列:
|
|
CSV ケースウォール (データのフィルタリング) |
名前: データ フィルタリング ログ 列:
|
|
CSV ケースウォール (HIP Match) |
名前: HIP 一致ログ 列:
|
|
CSV ケースウォール (IP タグ) |
名前: IP タグログ 列:
|
|
CSV ケースウォール (ユーザー ID) |
名前: ユーザー ID 一致ログ 列:
|
|
CSV ケースウォール (トンネル検査) |
名前: トンネル検査ログ 列:
|
|
CSV ケースウォール (構成) |
名前: 構成ログ 列:
|
|
CSV ケースウォール (システム) |
名前: システムログ 列:
|
|
CSV ケースウォール (認証) |
名前: 認証ログ 列:
|
IP 間の相関トラフィックを取得する
アクションは、送信元 IP アドレスと宛先 IP アドレスの間のパロアルト ネットワーク パノラマからの相関ネットワーク トラフィック ログを返します。
ハンドブックの推奨事項
2 つの IP 間の関連トラフィックを取得するプロセスを自動化するには、送信元 IP アドレスに Event.sourceAddress 属性を使用し、宛先 IP アドレスに Event.destinationAddress を使用します。このアプローチは、Google SecOps イベントが 1 つしかないアラートにおすすめします。それ以外の場合は、予期しない結果が生じる可能性があります。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 送信元 IP | CSV | なし | ○ | トラフィックの取得に使用される送信元 IP を指定します。 |
| 宛先 IP | CSV | なし | ○ | トラフィックの取得に使用される宛先 IP を指定します。 |
| 最大遡及時間 | 整数 | なし | いいえ | ログを取得する時間数を指定します。 |
| 返すログの最大数 | 整数 | 50 | いいえ | 返すログの数を指定します。最大値は 1000 です。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.3</src>
<dst>198.51.100.254</dst>
<natsrc>203.0.113.4</natsrc>
<natdst>198.51.100.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つのペアが成功した場合(is_success = true):
特定のペアまたは不完全なペアで失敗した場合(is_success = true): すべてのペアにログがない場合(is_success = false): アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: エラー実行アクション「IP 間の相関トラフィックの取得」を印刷します。理由: {0}」.format(error.Stacktrace) |
一般 |
| CSV ケースウォール(ペアごと) | 名前: {送信元 IP} と {宛先 IP} の間のトラフィック ログ 列:
|
コネクタ
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
パロアルト パノラマ - 脅威ログコネクタ
コネクタは、指定されたクエリ フィルタとそのパラメータに基づいて脅威ログを取り込みます。
コネクタの権限
コネクタが正常に機能するには、次の権限が必要です。
| Tab | 必要な権限 |
|---|---|
| ウェブ UI |
|
| XML API |
|
Query Filter コネクタ パラメータの使用方法
Query Filter コネクタ パラメータを使用すると、ログの取り込みに使用されるフィルタをカスタマイズできます。デフォルトでは、コネクタは時間フィルタと重大度フィルタを使用しますが、より具体的なフィルタを使用することもできます。
コネクタで使用されるクエリの例を次に示します。
{time_filter} and {severity_filter} and {custom_query_filter}
Query Filter コネクタ パラメータに入力した値は、{custom_query_filter} で使用されます。たとえば、(subtype eq spyware) 属性で Query Filter を指定する場合、クエリの例は次のようになります。
(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | はい | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | subtype | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
環境フィールド名 |
文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
環境の正規表現パターン |
文字列 | .* | いいえ |
デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックを使用して環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://IP_ADDRESS/api |
○ | パロアルト パノラマ インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | ○ | パロアルト ネットワーク パノラマ アカウントのユーザー名。 |
| パスワード | パスワード | なし | ○ | パロアルト ネットワーク パノラマ アカウントのパスワード。 |
| クエリフィルタ | 文字列 | なし | いいえ | クエリで追加のフィルタを指定します。 |
| 取得する最も低い重大度 | 文字列 | なし | ○ | 脅威ログの取得に使用される最も低い重大度。有効な値: 情報、低、中、高、重大。 |
| 遡る取得の最大時間数 | 整数 | 1 | いいえ | ログを取得する時間。 |
| 取得する最大ログ数 | 整数 | 25 | いいえ | 1 回のコネクタの反復処理で処理するログの数。 |
| 許可リストを拒否リストとして使用する | チェックボックス | オフ | ○ | 有効にすると、動的リストがブロックリストとして使用されます。 |
| SSL を確認 | チェックボックス | オン | はい | 有効になっている場合は、パロアルト ネットワーク パノラマ サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。