Palo Alto Panorama
整合版本:29.0
將 Palo Alto Panorama 與 Google Security Operations 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根目錄 | 字串 | https://IP_ADDRESS/api |
是 | Palo Alto Networks Panorama 執行個體的位址。 |
| 使用者名稱 | 字串 | 不適用 | 是 | 用於連線至 Palo Alto Networks Panorama 的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | 相應使用者的密碼。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選項,供您選取遠端使用者 (服務專員)。 |
動作
部分動作可能需要額外設定,例如權限、裝置名稱或裝置群組名稱。
動作權限
如要讓動作正常執行,必須具備下列權限:
| Tab 鍵 | 所需權限 |
|---|---|
| 設定 | 讀取及寫入 具備擷取或修改 Panorama 和防火牆設定的權限。 |
| 營運要求 | 讀取及寫入 在 Panorama 和防火牆上執行作業指令的權限。 |
| 修訂版本 | 讀取及寫入 提交 Panorama 和防火牆設定的權限。 |
取得裝置名稱或裝置群組名稱
如要取得裝置名稱,請使用下列連結:
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices如要取得裝置群組名稱,請使用下列連結:
https://PANORAMA_WEB_CONSOLE_IP/php/rest/browse.php/config::devices::entry[@name='DEVICE_NAME']::device-group
將 IP 新增至群組
將 IP 位址新增至位址群組。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置名稱 | 字串 | 不適用 | 是 | 指定裝置名稱。Palo Alto Networks Panorama 的預設裝置名稱為 localhost.localdomain。 |
| 裝置群組名稱 | 字串 | 不適用 | 是 | 指定裝置群組名稱。 |
| 位址群組名稱 | 字串 | 不適用 | 是 | 指定地址群組名稱。 |
執行日期
這項操作會對 IP 位址實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
"192.0.2.1",
"203.0.113.1"
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if successful and at least one of the provided IPs was added
(is_success = true): 如果無法新增特定 IP (is_success = true): print "Action was not able to add the following IPs to the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier]) 如果無法為所有 IP 位址新增 (is_success = false): Print: "No IPs were added to the Palo Alto Networks Panorama address group '{0}'.format(address_group) |
一般 |
在政策中封鎖 IP
封鎖特定政策中的 IP 位址。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置名稱 | 字串 | 不適用 | 是 | 指定裝置名稱。Palo Alto Networks Panorama 的預設裝置名稱為 localhost.localdomain。 |
| 裝置群組名稱 | 字串 | 不適用 | 是 | 指定裝置群組名稱。 |
| 政策名稱 | 字串 | 不適用 | 是 | 指定政策名稱。 |
| 目標 | 字串 | 不適用 | 是 | 指定目標。可能的值:來源、目的地。 |
執行日期
這項操作會對 IP 位址實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
"192.0.2.1",
"203.0.113.1"
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功且至少封鎖一個提供的 IP (is_success = true): 如果無法封鎖特定 IP (is_success = true): print "Action was not able to block the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier]) 如果無法為所有 IP 位址新增 (is_success = false): Print: "No IPs were blocked in the Palo Alto Networks Panorama policy '{0}'.format(policy_name) |
一般 |
封鎖網址
將網址新增至特定網址類別。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置名稱 | 字串 | 不適用 | 是 | 指定裝置名稱。Palo Alto Networks Panorama 的預設裝置名稱為 localhost.localdomain。 |
| 裝置群組名稱 | 字串 | 不適用 | 是 | 指定裝置群組名稱。 |
| 網址類別名稱 | 字串 | 不適用 | 是 | 指定網址類別的名稱。 |
執行日期
這項動作會對網址實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
"www.example.com"
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if successful and at least one of the provided URLs was added
(is_success = true): 如果無法新增特定網址 (is_success = true): print "Action was not able to add the following URLs to the Palo Alto Networks Panorama URL Category''{0}':\n {1}". format(category, [entity.identifier]) 如果無法為所有網址新增 (is_success = false): 列印:「No URLs were added to the Palo Alto Networks Panorama URL Category '{0}'.format(category) |
一般 |
編輯封鎖的應用程式
封鎖及解除封鎖應用程式。每個應用程式都會新增至或移除特定政策。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 要封鎖的應用程式 | 字串 | 不適用 | 否 | 指定要封鎖的應用程式類型。範例: apple-siri,windows-azure |
| 要解除封鎖的應用程式 | 字串 | 不適用 | 否 | 指定要解除封鎖的應用程式類型。範例: apple-siri,windows-azure |
| 裝置名稱 | 字串 | 不適用 | 是 | 指定裝置名稱。Palo Alto Networks Panorama 的預設裝置名稱為 localhost.localdomain。 |
| 裝置群組名稱 | 字串 | 不適用 | 是 | 指定裝置群組名稱。 |
| 政策名稱 | 字串 | 不適用 | 是 | 指定政策名稱。 |
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
取得已封鎖的應用程式
列出特定政策中所有遭封鎖的應用程式。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置名稱 | 字串 | 不適用 | 是 | 指定裝置名稱。Palo Alto Networks Panorama 的預設裝置名稱為 localhost.localdomain。 |
| 裝置群組名稱 | 字串 | 不適用 | 是 | 指定裝置群組名稱。 |
| 政策名稱 | 字串 | 不適用 | 是 | 指定政策名稱。 |
執行時間
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| blocked_applications | 不適用 | 不適用 |
JSON 結果
[
"1und1-mail",
"Filter",
"Group1",
"SiemplifyAppBlacklist",
"apple-siri",
"google-analytics"
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 「Successfully listed blocked applications in a policy ''{0}: {1}」。format(Policy name, \n separated list of applications) | 一般 |
乒乓
測試與 Panorama 的連線。
參數
不適用
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
修訂變更
動作會提交 Palo Alto Networks Panorama 中的變更。
使用者必須是管理員,才能使用 Only My Changes 參數。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 僅限我的變更 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,動作只會提交目前使用者所做的變更。 |
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
推送變更
在 Palo Alto Networks Panorama 中推送裝置群組的提交。
變更可能需要幾分鐘才會推送。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置群組名稱 | 字串 | 不適用 | 是 | 指定裝置群組名稱。如要進一步瞭解這個值的位置,請參閱動作說明文件。 |
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
從群組中移除 IP
從位址群組中移除 IP 位址。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置名稱 | 字串 | 不適用 | 是 | 指定裝置名稱。Palo Alto Networks Panorama 的預設裝置名稱為 localhost.localdomain。 |
| 裝置群組名稱 | 字串 | 不適用 | 是 | 指定裝置群組名稱。 |
| 位址群組名稱 | 字串 | 不適用 | 是 | 指定地址群組名稱。 |
執行日期
這項操作會對 IP 位址實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
"192.0.2.1",
"203.0.113.1"
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if successful and at least one of the provided IPs was removed
(is_success = true): 如果無法移除特定 IP (is_success = true): print "Action was not able to remove the following IPs from the Palo Alto Networks Panorama address group ''{0}':\n {1}".format(address_group, [entity.identifier]) 如果無法移除所有 IP (is_success = false): 列印:「No IPs were removed from the Palo Alto Networks Panorama address group '{0}'.format(address_group) |
一般 |
在政策中解除封鎖 IP
封鎖特定政策中的 IP 位址。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置名稱 | 字串 | 不適用 | 是 | 指定裝置名稱。Palo Alto Networks Panorama 的預設裝置名稱為 localhost.localdomain。 |
| 裝置群組名稱 | 字串 | 不適用 | 是 | 指定裝置群組名稱。 |
| 政策名稱 | 字串 | 不適用 | 是 | 指定政策名稱。 |
| 目標 | 字串 | 不適用 | 是 | 指定目標。可能的值:來源、目的地。 |
執行日期
這項操作會對 IP 位址實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
"192.0.2.1",
"203.0.113.1"
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if successful and at least one of the provided IPs was unblocked
(is_success = true): 如果無法封鎖特定 IP (is_success = true): print "Action was not able to unblock the following IPs in the Palo Alto Networks Panorama policy ''{0}':\n {1}".format(policy_name, [entity.identifier]) 如果無法為所有 IP 位址新增 (is_success = false): 列印:「No IPs were unblocked in the Palo Alto Networks Panorama policy '{0}'.format(policy_name) |
一般 |
解除封鎖網址
從指定網址類別中移除網址。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 裝置名稱 | 字串 | 不適用 | 是 | 指定裝置名稱。Palo Alto Networks Panorama 的預設裝置名稱為 localhost.localdomain。 |
| 裝置群組名稱 | 字串 | 不適用 | 是 | 指定裝置群組名稱。 |
| 網址類別名稱 | 字串 | 不適用 | 是 | 指定網址類別的名稱。 |
執行日期
這項動作會對網址實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
"www.example.com"
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if successful and at least one of the provided URLs was removed
(is_success = true): 如果無法新增特定網址 (is_success = true): print "Action was not able to remove the following URLs from the Palo Alto Networks Panorama URL Category''{0}':\n {1}".format(category, [entity.identifier])
如果所有網址都無法新增 (is_success = false): 列印:「No URLs were removed from the Palo Alto Networks Panorama URL Category '{0}'.format(category) |
一般 |
搜尋記錄
根據查詢在 Palo Alto Networks Panorama 中搜尋記錄。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 記錄類型 | DDL | 流量 | 是 | 指定要傳回的記錄類型。 可能的值: 流量、威脅、網址篩選、WildFire 提交、資料篩選、HIP 比對、IP 標記、使用者 ID、通道檢查、設定、系統、驗證。 |
| 查詢 | 字串 | 不適用 | 否 | 指定要用來傳回記錄的查詢篩選器。 |
| 可倒轉的小時數上限 | 整數 | 不適用 | 否 | 指定要擷取記錄的小時數。 |
| 要傳回的記錄數量上限 | 整數 | 50 | 否 | 指定要傳回的記錄數量。上限為 1000。 |
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.1</src>
<dst>203.0.113.254</dst>
<natsrc>198.51.100.4</natsrc>
<natdst>203.0.113.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if successful and returned at least one log
(is_success = true): 如果成功,但沒有記錄(is_success = false): 如果查詢有誤 (回應狀態 = 錯誤) (is_success=false): print "Action wasn't able to list logs. 原因:{0}".format(response/msg) 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器等: print "Error executing action "Search Logs". 原因: {0}''.format(error.Stacktrace) |
一般 |
| CSV 案件總覽 (流量) | 名稱:流量記錄 欄:
|
|
| CSV 案件總覽 (威脅) | 名稱:威脅記錄 欄:
|
|
CSV 案件總覽 (網址篩選) |
名稱:網址篩選記錄 欄:
|
|
CSV 案件總覽 (野火提交內容) |
名稱:野火提交記錄 欄:
|
|
CSV 案件總覽 (資料篩選) |
名稱:資料篩選記錄 欄:
|
|
CSV 案件總覽 (HIP 比對) |
名稱:HIP Match Logs 欄:
|
|
CSV 案件總覽 (IP 代碼) |
名稱:IP 代碼記錄 欄:
|
|
CSV 案件總覽 (使用者 ID) |
名稱:使用者 ID 比對記錄 欄:
|
|
CSV 案件總覽 (隧道檢查) |
名稱:通道檢查記錄 欄:
|
|
CSV 案件總覽 (設定) |
名稱:設定記錄 欄:
|
|
CSV 案件總覽 (系統) |
名稱:系統記錄 欄:
|
|
CSV 案件總覽 (驗證) |
名稱:驗證記錄 欄:
|
取得 IP 之間的相關流量
這項動作會從來源 IP 位址和目的地 IP 位址之間的 Palo Alto Networks Panorama,傳回相關的網路流量記錄。
應對手冊建議
如要自動擷取兩個 IP 之間的相關流量,請使用來源 IP 位址的 Event.sourceAddress 屬性,以及目的地 IP 位址的 Event.destinationAddress 屬性。如果快訊只有一個 Google SecOps 事件,建議採用這種做法。在其他情況下,可能會發生非預期的結果。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 來源 IP | CSV | 不適用 | 是 | 指定用於取得流量的來源 IP。 |
| 目的地 IP | CSV | 不適用 | 是 | 指定用於接收流量的目的地 IP。 |
| 可倒轉的小時數上限 | 整數 | 不適用 | 否 | 指定要擷取記錄的小時數。 |
| 要傳回的記錄數量上限 | 整數 | 50 | 否 | 指定要傳回的記錄數量。上限為 1000。 |
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
<logs count="1" progress="100">
<entry logid="28889">
<domain>0</domain>
<receive_time>2020/07/06 13:51:19</receive_time>
<serial>007051000096801</serial>
<seqno>21467</seqno>
<actionflags>0x0</actionflags>
<is-logging-service>no</is-logging-service>
<type>THREAT</type>
<subtype>spyware</subtype>
<config_ver>0</config_ver>
<time_generated>2020/07/06 13:51:10</time_generated>
<src>192.0.2.3</src>
<dst>198.51.100.254</dst>
<natsrc>203.0.113.4</natsrc>
<natdst>198.51.100.254</natdst>
<rule>inside to outside</rule>
<srcloc code="192.0.2.0-192.0.2.255" cc="192.0.2.0-192.0.2.255">192.0.2.0-192.0.2.255</srcloc>
<dstloc code="United States" cc="US">United States</dstloc>
<app>ms-update</app>
<vsys>vsys1</vsys>
<from>inside</from>
<to>Outside</to>
<inbound_if>ethernet1/2</inbound_if>
<outbound_if>ethernet1/1</outbound_if>
<logset>log forward1</logset>
<time_received>2020/07/06 13:51:10</time_received>
<sessionid>2348</sessionid>
<repeatcnt>1</repeatcnt>
<sport>56761</sport>
<dport>80</dport>
<natsport>45818</natsport>
<natdport>80</natdport>
<flags>0x80403000</flags>
<flag-pcap>yes</flag-pcap>
<flag-flagged>no</flag-flagged>
<flag-proxy>no</flag-proxy>
<flag-url-denied>no</flag-url-denied>
<flag-nat>yes</flag-nat>
<captive-portal>no</captive-portal>
<non-std-dport>no</non-std-dport>
<transaction>no</transaction>
<pbf-c2s>no</pbf-c2s>
<pbf-s2c>no</pbf-s2c>
<temporary-match>yes</temporary-match>
<sym-return>no</sym-return>
<decrypt-mirror>no</decrypt-mirror>
<credential-detected>no</credential-detected>
<flag-mptcp-set>no</flag-mptcp-set>
<flag-tunnel-inspected>no</flag-tunnel-inspected>
<flag-recon-excluded>no</flag-recon-excluded>
<flag-wf-channel>no</flag-wf-channel>
<pktlog>1594032670-2348.pcap</pktlog>
<proto>tcp</proto>
<action>alert</action>
<tunnel>N/A</tunnel>
<tpadding>0</tpadding>
<cpadding>0</cpadding>
<rule_uuid>9f1bcd9d-0ebc-4815-87cd-b377e0b4817f</rule_uuid>
<dg_hier_level_1>11</dg_hier_level_1>
<dg_hier_level_2>0</dg_hier_level_2>
<dg_hier_level_3>0</dg_hier_level_3>
<dg_hier_level_4>0</dg_hier_level_4>
<device_name>PA-VM</device_name>
<vsys_id>1</vsys_id>
<tunnelid_imsi>0</tunnelid_imsi>
<parent_session_id>0</parent_session_id>
<threatid>Suspicious HTTP Evasion Found</threatid>
<tid>14984</tid>
<reportid>0</reportid>
<category>computer-and-internet-info</category>
<severity>informational</severity>
<direction>client-to-server</direction>
<url_idx>1</url_idx>
<padding>0</padding>
<pcap_id>1206408081198547007</pcap_id>
<contentver>AppThreat-0-0</contentver>
<sig_flags>0x0</sig_flags>
<thr_category>spyware</thr_category>
<assoc_id>0</assoc_id>
<ppid>4294967295</ppid>
<http2_connection>0</http2_connection>
<misc>3.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/0</misc>
<tunnelid>0</tunnelid>
<imsi/>
<monitortag/>
<imei/>
</entry>
</logs>
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: if successful for at least one pair(is_success = true):
如果特定配對失敗或配對不完整 (is_success = true): if no logs for every pair(is_success =
false): 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器等: print "Error executing action "Get Correlated Traffic Between IPs". 原因:{0}''.format(error.Stacktrace) |
一般 |
| CSV 案件訊息牆 (適用於每對配對) | 名稱:{來源 IP} 和 {目的地 IP} 之間的流量記錄 欄:
|
連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
Palo Alto Panorama - Threat Log Connector
連接器會根據指定的查詢篩選條件及其參數,擷取威脅記錄。
連結器權限
如要讓連接器正常運作,必須具備下列權限:
| Tab 鍵 | 所需權限 |
|---|---|
| 網路使用者介面 |
|
| XML API |
|
如何使用 Query Filter 連接器參數
Query Filter 連接器參數可讓您自訂用於擷取記錄的篩選器。根據預設,連接器會使用時間和嚴重程度篩選器,但您也可以使用更具體的篩選器。
連接器使用的查詢範例如下:
{time_filter} and {severity_filter} and {custom_query_filter}
您在 Query Filter 連接器參數中輸入的值會用於 {custom_query_filter}。舉例來說,如果您使用 (subtype eq spyware) 屬性指定 Query Filter,查詢範例如下:
(time_generated geq '2020/06/22 08:00:00') and (severity geq medium) and (subtype eq spyware)
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | 子類型 | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
環境欄位名稱 |
字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
環境規則運算式模式 |
字串 | .* | 否 | 要在「 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於讓使用者透過一般運算式邏輯操控環境欄位。 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://IP_ADDRESS/api |
是 | Palo Alto Networks Panorama 執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Palo Alto Networks Panorama 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Palo Alto Networks Panorama 帳戶的密碼。 |
| 查詢篩選器 | 字串 | 不適用 | 否 | 在查詢中指定其他篩選條件。 |
| 要擷取的最低嚴重程度 | 字串 | 不適用 | 是 | 用於擷取威脅記錄的最低嚴重程度。可能的值: 資訊、低、中、高、重大。 |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取記錄的小時數。 |
| 要擷取的記錄數量上限 | 整數 | 25 | 否 | 每個連接器疊代要處理的記錄數。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將動態清單做為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,請確認連線至 Palo Alto Networks Panorama 伺服器的 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。