Palo Alto Panorama
통합 버전: 29.0
Palo Alto Panorama를 Google Security Operations와 통합
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | https://IP_ADDRESS/api |
예 | Palo Alto Networks Panorama 인스턴스의 주소입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Palo Alto Networks Panorama에 연결하는 데 사용해야 하는 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 해당 사용자의 비밀번호입니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자 (에이전트)를 선택하는 옵션이 나타납니다. |
작업
일부 작업에는 권한, 기기 이름 또는 기기 그룹 이름과 같은 추가 구성이 필요할 수 있습니다.
작업 권한
작업이 올바르게 실행되려면 다음 권한이 필요합니다.
| Tab | 필수 권한 |
|---|---|
| 구성 | 읽기 및 쓰기 Panorama 및 방화벽 구성을 가져오거나 수정할 수 있는 권한입니다. |
| 운영 요청 | 읽기 및 쓰기 Panorama 및 방화벽에서 운영 명령어를 실행할 권한입니다. |
| 커밋 | 읽기 및 쓰기 Panorama 및 방화벽 구성을 커밋할 수 있는 권한입니다. |
기기 이름 또는 기기 그룹 이름 가져오기
기기 이름을 가져오려면 다음 링크를 사용하세요.
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices기기 그룹 이름을 가져오려면 다음 링크를 사용하세요.
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group
그룹에 IP 추가
주소 그룹에 IP 주소를 추가합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기기 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 이름을 지정합니다. Palo Alto Networks Panorama의 기본 기기 이름은 localhost.localdomain입니다. |
| 기기 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 그룹의 이름을 지정합니다. |
| 주소 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 주소 그룹의 이름을 지정합니다. |
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
"192.0.2.1",
"203.0.113.1"
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 제공된 IP 중 하나 이상이 추가된 경우(is_success = true): 특정 IP를 추가하지 못한 경우 (is_success = true): '작업에서 다음 IP를 Palo Alto Networks Panorama 주소 그룹 ''{0}'에 추가할 수 없습니다.\n {1}'.format(address_group, [entity.identifier])를 출력합니다. 모든 IP를 추가하지 못한 경우 (is_success = false): 인쇄: '{0}' Palo Alto Networks Panorama 주소 그룹에 IP가 추가되지 않았습니다.format(address_group) |
일반 |
정책에서 IP 차단
지정된 정책에서 IP 주소를 차단합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기기 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 이름을 지정합니다. Palo Alto Networks Panorama의 기본 기기 이름은 localhost.localdomain입니다. |
| 기기 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 그룹의 이름을 지정합니다. |
| 정책 이름 | 문자열 | 해당 사항 없음 | 예 | 정책 이름을 지정합니다. |
| 대상 | 문자열 | 해당 사항 없음 | 예 | 타겟을 지정합니다. 가능한 값: source, destination |
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
"192.0.2.1",
"203.0.113.1"
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 제공된 IP 중 하나 이상이 차단된 경우 (is_success = true): 특정 IP를 차단하지 못한 경우 (is_success = true): '작업이 Palo Alto Networks Panorama 정책에서 다음 IP를 차단할 수 없습니다. ''{0}':\n {1}'.format(policy_name, [entity.identifier])을 출력합니다. 모든 IP를 추가하지 못한 경우 (is_success = false): 인쇄: 'Palo Alto Networks Panorama 정책 '{0}'에서 차단된 IP가 없습니다.'.format(policy_name) |
일반 |
URL 차단
지정된 URL 카테고리에 URL을 추가합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기기 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 이름을 지정합니다. Palo Alto Networks Panorama의 기본 기기 이름은 localhost.localdomain입니다. |
| 기기 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 그룹의 이름을 지정합니다. |
| URL 카테고리 이름 | 문자열 | 해당 사항 없음 | 예 | URL 카테고리의 이름을 지정합니다. |
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
"www.example.com"
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 제공된 URL 중 하나 이상이 추가된 경우(is_success = true): 특정 URL을 추가하지 못한 경우 (is_success = true): '작업에서 다음 URL을 Palo Alto Networks Panorama URL 카테고리에 추가할 수 없습니다.''{0}':\n {1}'를 출력합니다. format(category, [entity.identifier]) 모든 URL을 추가하지 못한 경우 (is_success = false): 인쇄: 'Palo Alto Networks Panorama URL 카테고리 '{0}'에 URL이 추가되지 않았습니다.format(category) |
일반 |
차단된 애플리케이션 수정
애플리케이션 차단 및 차단 해제 각 애플리케이션이 지정된 정책에 추가되거나 삭제됩니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 차단할 애플리케이션 | 문자열 | 해당 사항 없음 | 아니요 | 차단해야 하는 애플리케이션의 종류를 지정합니다. 예: apple-siri,windows-azure |
| 차단 해제할 애플리케이션 | 문자열 | 해당 사항 없음 | 아니요 | 차단을 해제해야 하는 애플리케이션의 종류를 지정합니다. 예: apple-siri,windows-azure |
| 기기 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 이름을 지정합니다. Palo Alto Networks Panorama의 기본 기기 이름은 localhost.localdomain입니다. |
| 기기 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 그룹의 이름을 지정합니다. |
| 정책 이름 | 문자열 | 해당 사항 없음 | 예 | 정책 이름을 지정합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
차단된 애플리케이션 가져오기
지정된 정책에서 차단된 모든 애플리케이션을 나열합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기기 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 이름을 지정합니다. Palo Alto Networks Panorama의 기본 기기 이름은 localhost.localdomain입니다. |
| 기기 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 그룹의 이름을 지정합니다. |
| 정책 이름 | 문자열 | 해당 사항 없음 | 예 | 정책 이름을 지정합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| blocked_applications | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | '{0} 정책에서 차단된 애플리케이션을 나열했습니다. {1}'.format(정책 이름, 애플리케이션의 쉼표로 구분된 목록) | 일반 |
핑
Panorama에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
변경사항 커밋
작업은 Palo Alto Networks Panorama에서 변경사항을 커밋합니다.
Only My Changes 매개변수를 사용하려면 사용자가 관리자여야 합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 내 변경사항만 | 체크박스 | 선택 해제 | 아니요 | 사용 설정된 경우 작업은 현재 사용자가 실행한 변경사항만 커밋합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
변경사항 푸시
Palo Alto Networks Panorama에서 기기 그룹의 커밋을 푸시합니다.
변경사항이 푸시되기까지 몇 분 정도 걸릴 수 있습니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기기 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 그룹의 이름을 지정합니다. 이 값을 찾을 수 있는 위치에 관한 자세한 내용은 작업 문서를 참고하세요. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
그룹에서 IP 삭제
주소 그룹에서 IP 주소를 삭제합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기기 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 이름을 지정합니다. Palo Alto Networks Panorama의 기본 기기 이름은 localhost.localdomain입니다. |
| 기기 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 그룹의 이름을 지정합니다. |
| 주소 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 주소 그룹의 이름을 지정합니다. |
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
"192.0.2.1",
"203.0.113.1"
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 제공된 IP 중 하나 이상이 삭제된 경우(is_success = true): 특정 IP를 삭제하지 못한 경우 (is_success = true): print "작업이 Palo Alto Networks Panorama 주소 그룹 ''{0}'에서 다음 IP를 삭제하지 못했습니다.\n {1}".format(address_group, [entity.identifier]) 모든 IP를 삭제하지 못한 경우(is_success = false): '{0}' Palo Alto Networks Panorama 주소 그룹에서 IP가 삭제되지 않았습니다.'를 출력합니다.format(address_group) |
일반 |
정책에서 IP 차단 해제
지정된 정책에서 IP 주소를 차단합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기기 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 이름을 지정합니다. Palo Alto Networks Panorama의 기본 기기 이름은 localhost.localdomain입니다. |
| 기기 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 그룹의 이름을 지정합니다. |
| 정책 이름 | 문자열 | 해당 사항 없음 | 예 | 정책 이름을 지정합니다. |
| 대상 | 문자열 | 해당 사항 없음 | 예 | 타겟을 지정합니다. 가능한 값: source, destination |
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
"192.0.2.1",
"203.0.113.1"
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 제공된 IP 중 하나 이상이 차단 해제된 경우(is_success = true): 특정 IP를 차단하지 못한 경우 (is_success = true): '작업이 Palo Alto Networks Panorama 정책 ''{0}'에서 다음 IP를 차단 해제할 수 없습니다.\n{1}'.format(policy_name, [entity.identifier])를 출력합니다. 모든 IP를 추가하지 못한 경우 (is_success = false): '{0}' Palo Alto Networks Panorama 정책에서 차단 해제된 IP가 없습니다.'를 출력합니다.format(policy_name) |
일반 |
URL 차단 해제
지정된 URL 카테고리에서 URL을 삭제합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기기 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 이름을 지정합니다. Palo Alto Networks Panorama의 기본 기기 이름은 localhost.localdomain입니다. |
| 기기 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 기기 그룹의 이름을 지정합니다. |
| URL 카테고리 이름 | 문자열 | 해당 사항 없음 | 예 | URL 카테고리의 이름을 지정합니다. |
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
"www.example.com"
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 제공된 URL 중 하나 이상이 삭제된 경우(is_success = true): 특정 URL을 추가하지 못한 경우 (is_success = true): '작업이 Palo Alto Networks Panorama URL 카테고리에서 다음 URL을 삭제할 수 없었습니다''{0}':\n {1}".format(category, [entity.identifier])를 출력합니다.
모든 URL을 추가할 수 없는 경우 (is_success = false): 인쇄: '{0}' 카테고리의 Palo Alto Networks Panorama URL에서 URL이 삭제되지 않았습니다.format(category) |
일반 |
로그 검색
쿼리를 기반으로 Palo Alto Networks Panorama에서 로그를 검색합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 로그 유형 | DDL | 트래픽 | 예 | 반환해야 하는 로그 유형을 지정합니다. 가능한 값: 트래픽, 위협, URL 필터링, WildFire 제출, 데이터 필터링, HIP 일치, IP 태그, 사용자 ID, 터널 검사, 구성, 시스템, 인증 |
| 쿼리 | 문자열 | 해당 사항 없음 | 아니요 | 로그를 반환하는 데 사용할 쿼리 필터를 지정합니다. |
| 최대 이전 시간 | 정수 | 해당 사항 없음 | 아니요 | 로그를 가져올 위치의 시간을 지정합니다. |
| 반환할 최대 로그 수 | 정수 | 50 | No | 반환할 로그 수를 지정합니다. 최댓값은 1,000입니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.1</src>
<dst>203.0.113.254</dst>
<natsrc>198.51.100.4</natsrc>
<natdst>203.0.113.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공하고 하나 이상의 로그를 반환한 경우(is_success = true): 성공했지만 로그가 없는 경우(is_success = false): 잘못된 쿼리인 경우 (응답 상태 = error) (is_success=false): '작업이 로그를 나열할 수 없습니다. 이유: {0}".format(response/msg) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: '로그 검색' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace) |
일반 |
| CSV 케이스 월 (트래픽) | 이름: 트래픽 로그 열:
|
|
| CSV 케이스 월 (위협) | 이름: 위협 로그 열:
|
|
CSV 케이스 월 (URL 필터링) |
이름: URL 필터링 로그 열:
|
|
CSV 케이스 월 (Wildfire 제출) |
이름: Wildfire Submission Logs(산불 제출 로그) 열:
|
|
CSV 케이스 월 (데이터 필터링) |
이름: 데이터 필터링 로그 열:
|
|
CSV 케이스 월 (HIP 일치) |
이름: HIP 일치 로그 열:
|
|
CSV 케이스 월 (IP 태그) |
이름: IP 태그 로그 열:
|
|
CSV 케이스 월 (사용자 ID) |
이름: 사용자 ID 일치 로그 열:
|
|
CSV 케이스 월 (터널 검사) |
이름: 터널 검사 로그 열:
|
|
CSV 케이스 월 (구성) |
이름: 구성 로그 열:
|
|
CSV 케이스 월 (시스템) |
이름: 시스템 로그 열:
|
|
CSV 케이스 월 (인증) |
이름: 인증 로그 열:
|
IP 간 상관관계가 있는 트래픽 가져오기
작업은 소스 IP 주소와 대상 IP 주소 간의 Palo Alto Networks Panorama에서 상관관계가 지정된 네트워크 트래픽 로그를 반환합니다.
플레이북 추천
두 IP 간의 상관관계가 있는 트래픽을 가져오는 프로세스를 자동화하려면 소스 IP 주소에 Event.sourceAddress 속성을 사용하고 대상 IP 주소에 Event.destinationAddress 속성을 사용합니다. 이 접근 방식은 Google SecOps 이벤트가 하나만 있는 알림에 권장됩니다. 다른 경우에는 예기치 않은 결과가 발생할 수 있습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 소스 IP | CSV | 해당 사항 없음 | 예 | 트래픽을 가져오는 데 사용될 소스 IP를 지정합니다. |
| 대상 IP | CSV | 해당 사항 없음 | 예 | 트래픽을 가져오는 데 사용될 대상 IP를 지정합니다. |
| 최대 이전 시간 | 정수 | 해당 사항 없음 | 아니요 | 로그를 가져올 위치의 시간을 지정합니다. |
| 반환할 최대 로그 수 | 정수 | 50 | No | 반환할 로그 수를 지정합니다. 최댓값은 1,000입니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.3</src>
<dst>198.51.100.254</dst>
<natsrc>203.0.113.4</natsrc>
<natdst>198.51.100.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 쌍이 성공한 경우(is_success = true):
특정 쌍 또는 불완전한 쌍에 대해 실패한 경우 (is_success = true): 모든 쌍에 대한 로그가 없는 경우(is_success = false): 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'IP 간 상관 트래픽 가져오기' 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV 케이스 월 (각 쌍의 경우) | 이름: {소스 IP}와 {목적지 IP} 간 트래픽 로그 열:
|
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
Palo Alto Panorama - 위협 로그 커넥터
커넥터는 지정된 쿼리 필터와 해당 매개변수를 기반으로 위협 로그를 수집합니다.
커넥터 권한
커넥터가 제대로 작동하려면 다음 권한이 필요합니다.
| Tab | 필수 권한 |
|---|---|
| 웹 UI |
|
| XML API |
|
Query Filter 커넥터 매개변수 사용 방법
Query Filter 커넥터 매개변수를 사용하면 로그를 수집하는 데 사용되는 필터를 맞춤설정할 수 있습니다. 기본적으로 커넥터는 시간 필터와 심각도 필터를 사용하지만 더 구체적인 필터를 사용할 수도 있습니다.
커넥터에서 사용되는 쿼리의 예는 다음과 같습니다.
{time_filter} and {severity_filter} and {custom_query_filter}
Query Filter 커넥터 매개변수에 입력한 값은 {custom_query_filter}에서 사용됩니다. 예를 들어 (subtype eq spyware) 속성으로 Query Filter를 지정하는 경우 쿼리 예는 다음과 같습니다.
(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | 하위 유형 | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
환경 필드 이름 |
문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
환경 정규식 패턴 |
문자열 | .* | 아니요 |
기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://IP_ADDRESS/api |
예 | Palo Alto Networks Panorama 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Palo Alto Networks Panorama 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Palo Alto Networks Panorama 계정의 비밀번호입니다. |
| 쿼리 필터 | 문자열 | 해당 사항 없음 | 아니요 | 쿼리에 추가 필터를 지정합니다. |
| 가져올 가장 낮은 심각도 | 문자열 | 해당 사항 없음 | 예 | 위협 로그를 가져오는 데 사용할 가장 낮은 심각도입니다. 가능한 값은 다음과 같습니다. 정보, 낮음, 중간, 높음, 매우 높음 |
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | 아니요 | 로그를 가져올 위치의 시간입니다. |
| 가져올 최대 로그 수 | 정수 | 25 | 아니요 | 커넥터 반복당 처리할 로그 수입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Palo Alto Networks Panorama 서버에 대한 연결의 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.