Palo Alto Panorama
集成版本:29.0
将 Palo Alto Panorama 与 Google Security Operations 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://IP_ADDRESS/api |
是 | Palo Alto Networks Panorama 实例的地址。 |
| 用户名 | 字符串 | 不适用 | 是 | 应使用哪个用户名连接到 Palo Alto Networks Panorama。 |
| 密码 | 密码 | 不适用 | 是 | 相应用户的密码。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
某些操作可能需要进行额外的配置,例如权限、设备名称或设备组名称。
操作权限
为了让操作正常执行,需要以下权限:
| 制表符 | 所需权限 |
|---|---|
| 配置 | 读写 检索或修改 Panorama 和防火墙配置的权限。 |
| 操作请求 | 读写 在 Panorama 和防火墙上运行操作命令的权限。 |
| 提交 | 读写 提交 Panorama 和防火墙配置的权限。 |
获取设备名称或设备组名称
如需获取设备名称,请访问以下链接:
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices如需获取设备组名称,请访问以下链接:
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group
将 IP 添加到群组
向地址组添加 IP 地址。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 设备名称 | 字符串 | 不适用 | 是 | 指定设备的名称。Palo Alto Networks Panorama 的默认设备名称为 localhost.localdomain。 |
| 设备组名称 | 字符串 | 不适用 | 是 | 指定设备组的名称。 |
| 地址组名称 | 字符串 | 不适用 | 是 | 指定地址组的名称。 |
运行于
此操作在 IP 地址实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
"192.0.2.1",
"203.0.113.1"
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功添加了至少一个提供的 IP 地址(is_success = true): 如果添加特定 IP 失败(is_success = true): print "Action was not able to add the following IPs to the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier]) 如果无法为所有 IP 添加(is_success = false): 打印:“未将任何 IP 添加到 Palo Alto Networks Panorama 地址组 '{0}'”。format(address_group) |
常规 |
在政策中屏蔽 IP 地址
屏蔽指定政策中的 IP 地址。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 设备名称 | 字符串 | 不适用 | 是 | 指定设备的名称。Palo Alto Networks Panorama 的默认设备名称为 localhost.localdomain。 |
| 设备组名称 | 字符串 | 不适用 | 是 | 指定设备组的名称。 |
| 政策名称 | 字符串 | 不适用 | 是 | 指定政策的名称。 |
| 目标 | 字符串 | 不适用 | 是 | 指定应将什么作为目标。可能的值:source、destination。 |
运行于
此操作在 IP 地址实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
"192.0.2.1",
"203.0.113.1"
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功且至少一个提供的 IP 已被屏蔽 (is_success = true): 如果无法屏蔽特定 IP(is_success = true): print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier]) 如果无法为所有 IP 添加(is_success = false): 打印:“Palo Alto Networks Panorama 政策 '{0}' 中未屏蔽任何 IP 地址”。format(policy_name) |
常规 |
屏蔽网址
将网址添加到给定的网址类别。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 设备名称 | 字符串 | 不适用 | 是 | 指定设备的名称。Palo Alto Networks Panorama 的默认设备名称为 localhost.localdomain。 |
| 设备组名称 | 字符串 | 不适用 | 是 | 指定设备组的名称。 |
| 网址类别名称 | 字符串 | 不适用 | 是 | 指定网址类别的名称。 |
运行于
此操作在网址实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
"www.example.com"
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功添加了至少一个提供的网址 (is_success = true): 如果无法添加特定网址(is_success = true): print "Action was not able to add the following 网址s to the Palo Alto Networks Panorama 网址 Category''{0}':\n {1}". format(category, [entity.identifier]) 如果无法为所有网址添加(is_success = false): 打印:“未向 Palo Alto Networks Panorama 网址类别‘{0}’添加任何网址。”format(category) |
常规 |
修改“遭屏蔽应用的数量”
屏蔽和取消屏蔽应用。每个应用都会添加到指定政策或从指定政策中移除。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要屏蔽的应用 | 字符串 | 不适用 | 否 | 指定应屏蔽哪种类型的应用。示例: apple-siri,windows-azure |
| 要解除屏蔽的应用 | 字符串 | 不适用 | 否 | 指定应解除屏蔽哪种应用。示例: apple-siri,windows-azure |
| 设备名称 | 字符串 | 不适用 | 是 | 指定设备的名称。Palo Alto Networks Panorama 的默认设备名称为 localhost.localdomain。 |
| 设备组名称 | 字符串 | 不适用 | 是 | 指定设备组的名称。 |
| 政策名称 | 字符串 | 不适用 | 是 | 指定政策的名称。 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
获取被屏蔽的应用
列出指定政策中的所有已屏蔽应用。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 设备名称 | 字符串 | 不适用 | 是 | 指定设备的名称。Palo Alto Networks Panorama 的默认设备名称为 localhost.localdomain。 |
| 设备组名称 | 字符串 | 不适用 | 是 | 指定设备组的名称。 |
| 政策名称 | 字符串 | 不适用 | 是 | 指定政策的名称。 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| blocked_applications | 不适用 | 不适用 |
JSON 结果
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | “Successfully listed blocked applications in a policy ''{0}: {1}".format(Policy name, \n separated list of applications) | 常规 |
Ping
测试与 Panorama 的连接。
参数
不适用
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
提交更改
操作会提交 Palo Alto Networks Panorama 中的更改。
如需使用 Only My Changes 参数,用户必须是管理员。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 仅限我的更改 | 复选框 | 尚未核查 | 否 | 如果启用,操作将仅提交当前用户所做的更改。 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
推送更改
推送 Palo Alto Networks Panorama 中设备组的提交。
更改可能需要几分钟才能推送。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 设备组名称 | 字符串 | 不适用 | 是 | 指定设备组的名称。请访问操作文档,详细了解可在何处找到此值。 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
从群组中移除 IP
从地址组中移除 IP 地址。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 设备名称 | 字符串 | 不适用 | 是 | 指定设备的名称。Palo Alto Networks Panorama 的默认设备名称为 localhost.localdomain。 |
| 设备组名称 | 字符串 | 不适用 | 是 | 指定设备组的名称。 |
| 地址组名称 | 字符串 | 不适用 | 是 | 指定地址组的名称。 |
运行于
此操作在 IP 地址实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
"192.0.2.1",
"203.0.113.1"
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功且至少移除了一个提供的 IP (is_success = true): 如果无法移除特定 IP(is_success = true): print"操作无法从 Palo Alto Networks Panorama 地址组 ''{0}' 中移除以下 IP:\n {1}".format(address_group,[entity.identifier]) 如果未能移除所有 IP 地址:(is_success = false): 打印:“未从 Palo Alto Networks Panorama 地址组 '{0}' 中移除任何 IP。”.format(address_group) |
常规 |
在政策中取消屏蔽 IP
屏蔽指定政策中的 IP 地址。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 设备名称 | 字符串 | 不适用 | 是 | 指定设备的名称。Palo Alto Networks Panorama 的默认设备名称为 localhost.localdomain。 |
| 设备组名称 | 字符串 | 不适用 | 是 | 指定设备组的名称。 |
| 政策名称 | 字符串 | 不适用 | 是 | 指定政策的名称。 |
| 目标 | 字符串 | 不适用 | 是 | 指定应将什么作为目标。可能的值:source、destination。 |
运行于
此操作在 IP 地址实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
"192.0.2.1",
"203.0.113.1"
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功且至少一个提供的 IP 地址已解除封锁 (is_success = true): 如果未能屏蔽特定 IP(is_success = true): print "无法在 Palo Alto Networks Panorama 政策 ''{0}' 中解除对以下 IP 的封锁:\n{1}".format(policy_name, [entity.identifier]) 如果无法为所有 IP 添加(is_success = false): 打印:“Palo Alto Networks Panorama 政策 '{0}' 中没有取消屏蔽任何 IP 地址。”format(policy_name) |
常规 |
取消屏蔽网址
从指定网址类别中移除网址。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 设备名称 | 字符串 | 不适用 | 是 | 指定设备的名称。Palo Alto Networks Panorama 的默认设备名称为 localhost.localdomain。 |
| 设备组名称 | 字符串 | 不适用 | 是 | 指定设备组的名称。 |
| 网址类别名称 | 字符串 | 不适用 | 是 | 指定网址类别的名称。 |
运行于
此操作在网址实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
"www.example.com"
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功且至少一个提供的网址被移除(is_success = true): 如果无法添加特定网址(is_success = true): print "Action was not able to remove the following 网址s from the Palo Alto Networks Panorama 网址 Category''{0}':\n {1}".format(category, [entity.identifier])
如果所有网址都添加失败(is_success = false): 打印:“未从 Palo Alto Networks Panorama 网址类别 '{0}' 中移除任何网址。”format(category) |
常规 |
搜索日志
根据查询内容在 Palo Alto Networks Panorama 中搜索日志。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 日志类型 | DDL | 流量 | 是 | 指定应返回的日志类型。 可能的值:流量、威胁、网址过滤、WildFire 提交、数据过滤、HIP 匹配、IP 标记、用户 ID、隧道检查、配置、系统、身份验证。 |
| 查询 | 字符串 | 不适用 | 否 | 指定应使用什么查询过滤条件来返回日志。 |
| 回溯的小时数上限 | 整数 | 不适用 | 否 | 指定提取日志的小时数。 |
| 要返回的日志数上限 | 整数 | 50 | 否 | 指定要返回的日志数量。最大值为 1000。 |
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.1</src>
<dst>203.0.113.254</dst>
<natsrc>198.51.100.4</natsrc>
<natdst>203.0.113.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功且返回了至少一个日志(is_success = true): 如果成功,但没有日志(is_success = false): 如果查询不正确(响应状态 = 错误)(is_success=false): print "操作无法列出日志。原因:{0}".format(response/msg) 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器等): print "Error executing action "Search Logs". 原因: {0}''.format(error.Stacktrace) |
常规 |
| CSV 案例墙(流量) | 名称:流量日志 列:
|
|
| CSV 案例墙(威胁) | 名称:威胁日志 列:
|
|
CSV 案例墙 (网址过滤) |
名称:网址过滤日志 列:
|
|
CSV 案例墙 (野火提交内容) |
名称:野火提交日志 列:
|
|
CSV 案例墙 (数据过滤) |
名称:数据过滤日志 列:
|
|
CSV 案例墙 (HIP 匹配) |
名称:HIP Match Logs 列:
|
|
CSV 案例墙 (IP 代码) |
名称:IP 标记日志 列:
|
|
CSV 案例墙 (用户 ID) |
名称:用户 ID 匹配日志 列:
|
|
CSV 案例墙 (隧道检查) |
名称:隧道检查日志 列:
|
|
CSV 案例墙 (配置) |
名称:配置日志 列:
|
|
CSV 案例墙 (系统) |
名称:系统日志 列:
|
|
CSV 案例墙 (身份验证) |
名称:身份验证日志 列:
|
获取 IP 之间的相关流量
该操作会返回 Palo Alto Networks Panorama 中来源 IP 地址与目标 IP 地址之间相关联的网络流量日志。
playbook 建议
如需自动执行检索两个 IP 之间相关流量的过程,请为源 IP 地址使用 Event.sourceAddress 属性,为目标 IP 地址使用 Event.destinationAddress 属性。建议仅包含一个 Google SecOps 事件的提醒采用此方法。在其他情况下,可能会出现意外结果。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 来源 IP | CSV | 不适用 | 是 | 指定将用于获取流量的来源 IP。 |
| 目标 IP 地址 | CSV | 不适用 | 是 | 指定将用于获取流量的目标 IP。 |
| 回溯的小时数上限 | 整数 | 不适用 | 否 | 指定提取日志的小时数。 |
| 要返回的日志数上限 | 整数 | 50 | 否 | 指定要返回的日志数量。最大值为 1000。 |
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.3</src>
<dst>198.51.100.254</dst>
<natsrc>203.0.113.4</natsrc>
<natdst>198.51.100.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一对成功(is_success = true):
如果某些对或不完整的对未成功(is_success = true): if no logs for every pair(is_success =
false): 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器等): print "Error executing action "Get Correlated Traffic Between IPs". 原因:{0}''.format(error.Stacktrace) |
常规 |
| CSV 案例墙(针对每对) | 名称:{Source IP} 与 {Destination IP} 之间的流量日志 列:
|
连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
Palo Alto Panorama - 威胁日志连接器
连接器会根据指定的查询过滤条件及其参数提取威胁日志。
连接器权限
为了让连接器正常运行,您需要拥有以下权限:
| 制表符 | 所需权限 |
|---|---|
| 网页界面 |
|
| XML API |
|
如何使用 Query Filter 连接器参数
借助 Query Filter 连接器参数,您可以自定义用于注入日志的过滤条件。默认情况下,连接器使用时间过滤条件和严重程度过滤条件,但也可以使用更具体的过滤条件。
连接器使用的查询示例如下:
{time_filter} and {severity_filter} and {custom_query_filter}
您在 Query Filter 连接器参数中输入的值将用于 {custom_query_filter}。例如,如果您使用 (subtype eq spyware) 属性指定 Query Filter,则查询示例如下所示:
(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 子类型 | 是 | 输入源字段名称,以便检索事件字段名称。 |
环境字段名称 |
字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
环境正则表达式模式 |
字符串 | .* | 否 | 要对 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于让用户使用正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://IP_ADDRESS/api |
是 | Palo Alto Networks Panorama 实例的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Palo Alto Networks Panorama 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | Palo Alto Networks Panorama 账号的密码。 |
| 查询过滤条件 | 字符串 | 不适用 | 否 | 在查询中指定其他过滤条件。 |
| 要提取的最低严重程度 | 字符串 | 不适用 | 是 | 用于提取威胁日志的最低严重程度。可能的值: 信息、低、中、高、严重。 |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 提取日志的小时数。 |
| 要提取的日志数量上限 | 整数 | 25 | 否 | 每次连接器迭代要处理的日志数量。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,动态列表将用作屏蔽名单。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Palo Alto Networks Panorama 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。