Palo Alto Networks Prisma Cloud
이 문서에서는 Palo Alto Networks Prisma Cloud를 Google Security Operations의 SOAR 모듈과 통합하는 방법을 안내합니다. Google SecOps 플랫폼에서 Palo Alto Networks Prisma Cloud 통합은 Palo Alto Prisma Cloud라고 합니다.
통합 버전: 3.0
Prisma Cloud를 Google SecOps와 통합
통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
API Root |
필수 Prisma Cloud 인스턴스의 API 루트입니다. 기본값은 |
Access Key ID |
필수 Prisma Cloud 계정의 액세스 키 ID입니다. |
Secret Access Key |
필수 Prisma Cloud 계정의 보안 비밀 액세스 키입니다. |
Verify SSL |
필수 선택하면 Google SecOps에서 Prisma Cloud 서버에 대한 연결의 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다. |
필요한 경우 이후 단계에서 변경할 수 있습니다. Prisma Cloud 인스턴스를 구성한 후 플레이북에서 인스턴스를 사용할 수 있습니다. Prisma Cloud 다중 인스턴스 구성 및 지원에 관한 자세한 내용은 다중 인스턴스 지원을 참고하세요.
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
작업
다음은 Prisma Cloud 통합에서 사용할 수 있는 작업 목록입니다.
애셋 보강
Prisma Cloud를 사용하여 리소스에 관한 정보를 보강합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다. 지원되는 항목에 대한 자세한 내용은 지원되는 항목 유형을 참고하세요.
작업 입력
이 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Asset Identifiers |
필수 세부정보를 가져올 애셋 식별자의 쉼표로 구분된 목록입니다. 애셋 식별자는 애셋 ID 또는 애셋 제한된 리소스 이름 (RRN)입니다. |
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 작업 출력 사용 가능 여부 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
JSON 결과
다음 예에서는 '애셋 보강' 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.
{
"id":"2dcffa4a51d892bcf48ed80652e75650",
"externalAssetId":"5115585594921894848",
"cloudType":"gcp",
"createdTs":1707216238063,
"insertTs":1707216238063,
"dynamicData":null,
"data":{
"id":"5115585594921894848",
"kind":"compute#instance",
"name":"example-name-rgmn",
"tags":{
"items":[
"example-name"
],
"fingerprint":"ycXN3kijHZc="
},
"zone":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/zones/us-central1-a",
"disks":[
{
"boot":true,
"kind":"compute#attachedDisk",
"mode":"READ_WRITE",
"type":"PERSISTENT",
"index":0,
"source":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/zones/us-central1-a/disks/example-name-rgmn",
"licenses":[
"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/licenses/LICENSE_ID"
],
"interface":"SCSI",
"autoDelete":true,
"deviceName":"persistent-disk-0",
"diskSizeGb":"30",
"architecture":"X86_64",
"guestOsFeatures":[
{
"type":"GVNIC"
},
{
"type":"SEV_CAPABLE"
},
{
"type":"UEFI_COMPATIBLE"
},
{
"type":"VIRTIO_SCSI_MULTIQUEUE"
}
],
"shieldedInstanceInitialState":{
"dbxs":[
]
}
}
],
"labels":{
"goog-ccm":"true",
"goog-solutions-console-solution-id":"java-application",
"goog-solutions-console-deployment-name":"java-application"
},
"status":"RUNNING",
"metadata":{
"kind":"compute#metadata",
"items":[
{
"key":"created-by",
"value":"projects/PROJECT_ID/regions/us-central1/instanceGroupManagers/example-name"
},
{
"key":"instance-template",
"value":"projects/PROJECT_ID/global/instanceTemplates/xwiki-us-central1-a-temp"
},
{
"key":"startup-script",
"value":"#! /bin/bash\n\nsed -i \"s/$(echo JGROUP_BUCKET | sed -e 's/\\([[\/.*]\\|\\]\\)/\\\\&/g')/$(echo xwiki-jgroup-PROJECT_ID-gce | sed -e 's/[\/&]/\\\\&/g')/g\" /usr/lib/xwiki/WEB-INF/observation/remote/jgroups/tcp.xml\nsed -i \"s/$(echo ACCESS_KEY | sed -e 's/\\([[\/.*]\\|\\]\\)/\\\\&/g')/$(echo GOOG1E | sed -e 's/[\/&]/\\\\&/g')/g\" /usr/lib/xwiki/WEB-INF/observation/remote/jgroups/tcp.xml\nsed -i \"s/$(echo SECRET_KEY | sed -e 's/\\([[\/.*]\\|\\]\\)/\\\\&/g')/$(echo IvgTtIJJq+68sI9XISo2qMXGyONmFDf7U9QuegN/ | sed -e 's/[\/&]/\\\\&/g')/g\" /usr/lib/xwiki/WEB-INF/observation/remote/jgroups/tcp.xml\n\nDB_PASS=\"$(gcloud secrets versions access --secret xwiki-db-password latest --project PROJECT_NAME)\"\n\nbash /home/xwiki_startup.sh \"203.0.113.2\" \"xwiki\" \"${DB_PASS}\" \"203.0.113.242\"\nbash /home/xwiki_deploy_flavor.sh \"203.0.113.2\" \"xwiki\" \"${DB_PASS}\" \"203.0.113.242\"\n"
}
],
"fingerprint":"_s0ui1yxFME="
},
"selfLink":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/zones/us-central1-a/instances/example-name-rgmn",
"scheduling":{
"preemptible":false,
"automaticRestart":true,
"onHostMaintenance":"MIGRATE",
"provisioningModel":"STANDARD"
},
"cpuPlatform":"Intel Cascade Lake",
"fingerprint":"YBMt5z3lxpI=",
"machineType":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/zones/us-central1-a/machineTypes/n2-standard-2",
"minCpuPlatform":"Intel Cascade Lake",
"serviceAccounts":[
{
"email":"example@developer.gserviceaccount.com",
"scopes":[
"https://www.googleapis.com/auth/cloud-platform",
"https://www.googleapis.com/auth/compute",
"https://www.googleapis.com/auth/devstorage.full_control",
"https://www.googleapis.com/auth/devstorage.read_only",
"https://www.googleapis.com/auth/logging.write",
"https://www.googleapis.com/auth/monitoring.write",
"https://www.googleapis.com/auth/service.management.readonly",
"https://www.googleapis.com/auth/servicecontrol",
"https://www.googleapis.com/auth/trace.append"
]
}
],
"startRestricted":false,
"labelFingerprint":"Cy_Kdpu4cz8=",
"creationTimestamp":"2024-02-05T16:28:31.856-08:00",
"networkInterfaces":[
{
"kind":"compute#networkInterface",
"name":"nic0",
"network":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/networks/NETWORK_ID",
"networkIP":"203.0.113.2",
"stackType":"IPV4_ONLY",
"subnetwork":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/us-central1/subnetworks/SUBNETWORK_ID",
"fingerprint":"lpKHF5wzhv4="
}
],
"deletionProtection":false,
"lastStartTimestamp":"2024-02-05T16:28:47.038-08:00",
"shieldedInstanceConfig":{
"enableVtpm":true,
"enableSecureBoot":false,
"enableIntegrityMonitoring":true
},
"shieldedInstanceIntegrityPolicy":{
"updateAutoLearnPolicy":true
}
},
"name":"example-name-rgmn",
"regionId":"us-central1",
"regionName":"US",
"riskGrade":"B",
"stateId":null,
"url":"https://console.cloud.google.comhttps://console.cloud.google.com/compute/instancesDetail/zones/us-central1-a/instances/example-name-rgmn?project=PROJECT_NAME",
"vpcId":null,
"vpcName":null,
"relationshipCounts":1,
"vulnerabilityCounts":{
"critical":17,
"high":38,
"knownExploits":{
"critical":0,
"high":0,
"low":0,
"medium":0
},
"low":31,
"medium":59,
"old":{
"critical":0,
"high":0,
"low":0,
"medium":0
},
"patchable":{
"critical":17,
"high":38,
"low":5,
"medium":26
}
},
"vpcExternalAssetId":null,
"tags":{
"goog-ccm":true,
"xwiki-us-central1-autoscale":"",
"goog-solutions-console-deployment-name":"java-application",
"goog-solutions-console-solution-id":"java-application"
},
"assetType":"Google Compute Engine VM Instance",
"serviceName":"Google Compute Engine",
"resourceType":"Google Compute Engine VM Instance",
"accountGroup":"account",
"accountName":"Example-Name",
"assetClassId":"compute",
"assetClass":"Compute",
"deleted":false,
"problem":[
],
"alertsCount":[
{
"count":5,
"severity":"high"
},
{
"count":3,
"severity":"critical"
},
{
"count":2,
"severity":"low"
}
],
"attributes":{
"altAssetId":"example-name-rgmn.us-central1-a.c.PROJECT_NAME.internal",
"name":"example-name-rgmn.us-central1-a.c.PROJECT_NAME.internal",
"provider":"gcp",
"accountID":"example-account",
"region":"us-central1-a",
"resourceName":"5115585594921894848",
"osRelease":"focal",
"osDistro":"ubuntu",
"distro":"Ubuntu 20.04.5 LTS",
"scannedBy":"Agentless",
"docker":"",
"kubernetes":"",
"cluster":"",
"vmImage":"hsa-xwiki-vm-img-latest",
"collections":[
"All"
],
"scanPassed":true,
"stage":"run",
"lastScanTime":"2024-02-12T18:25:39.39Z"
},
"alertCountBySeverity":[
{
"severity":"high",
"count":5
},
{
"severity":"critical",
"count":3
},
{
"severity":"low",
"count":2
}
]
}
스크립트 결과
다음 표에서는 '자산 보강' 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
출력 메시지
케이스 월에서 '애셋 보강' 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich Assets". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
핑
이 작업을 사용하여 Prisma Cloud 서버에 대한 연결을 테스트합니다.
작업 입력
없음
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 작업 출력 사용 가능 여부 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
스크립트 결과
다음 표에서는 Ping 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
출력 메시지
케이스 월에서 핑 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully connected to the Palo Alto Prisma Cloud server with
the provided connection parameters! |
작업이 완료되었습니다. |
Failed to connect to the Palo Alto Prisma Cloud server! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
알림에 응답
Prisma Cloud를 사용하여 알림에 응답합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다. 지원되는 항목에 대한 자세한 내용은 지원되는 항목 유형을 참고하세요.
작업 입력
이 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수 응답 알림의 ID입니다. |
Response Type |
선택사항 알림 상태입니다.
|
Snooze Time |
선택사항 일시중지 시간(단위: 시간)입니다. |
Dismiss Note |
선택사항 해고를 정당화하는 메모 |
작업 출력
이 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 작업 출력 사용 가능 여부 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
JSON 결과
다음 예에서는 알림에 응답 작업 사용 시 수신되는 JSON 결과 출력을 설명합니다.
{
"response_status": {"Reopened", "Snoozed", "Dismissed", "Remediated", "No Remediation Applied."}
}
스크립트 결과
다음 표에서는 '알림에 응답' 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.
| 스크립트 결과 이름 | 값 |
|---|---|
| is_success | True 또는 False |
출력 메시지
케이스 월에서 핑 작업은 다음 출력 메시지를 제공합니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully responded to an alert with ID
ALERT_ID in Palo Alto Prisma
Cloud. |
작업이 완료되었습니다. |
Error executing action "Respond To Alert". Reason: Alert with
ID ALERT_ID wasn't found in Palo
Alto Prisma Cloud. Please check the spelling. |
작업이 실패했습니다. 알림을 찾을 수 없습니다. 맞춤법을 확인하세요. |
Error executing action "Respond To Alert". Reason: The Response
Type parameter is misconfigured. Select a valid value for the Response
Type parameter. |
작업이 실패했습니다. 응답 유형 매개변수 값을 확인합니다. |
Error executing action "Respond To Alert". Reason: Action
couldn't respond to alert with ID
ALERT_ID in Palo Alto Prisma Cloud.
Please check the action configuration parameters. |
작업이 실패했습니다. 입력 매개변수 값을 확인합니다. |
Error executing action "Respond To Alert". Reason:
The Response Type parameter was set to "Snooze". Make sure that the Snooze
Time parameter value is configured and valid. |
작업이 실패했습니다. 스누즈 시간 매개변수 값을 확인합니다. |
Error executing action "Respond To Alert". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
Palo Alto Prisma Cloud - Alerts Connector
이 커넥터를 사용하여 Prisma Cloud에서 알림을 가져옵니다.
동적 목록은 다음 예와 같이 policy.name 매개변수와 함께 작동합니다.
"filters": [
{
"operator": "=",
"name": "policy.name",
"value": "Google Cloud VM instance that is internet reachable with unrestricted access (203.0.113.0/24)"
},
{
"operator": "=",
"name": "policy.name",
"value": "Compute Engine with IAM write access level"
}
]
커넥터 입력
커넥터에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 제품 필드 이름을 가져오는 소스 필드 이름입니다. 기본값은 |
Event Field Name |
필수 이벤트 필드 이름을 가져오는 소스 필드 이름입니다. 기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경으로 설정됩니다. |
Environment Regex Pattern |
선택사항
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
API Root |
필수
Prisma Cloud 인스턴스의 API 루트입니다. 기본값은 |
Access Key ID |
필수
Prisma Cloud 계정의 액세스 키 ID입니다. |
Secret Access Key |
필수
Prisma Cloud 계정의 보안 비밀 액세스 키입니다. |
Lowest Severity to Fetch |
선택사항
가져올 알림의 가장 낮은 심각도입니다. 값을 제공하지 않으면 커넥터가 모든 심각도의 알림을 수집합니다. 가능한 값은 다음과 같습니다.
|
Max Hours Backwards |
선택사항 커넥터가 인시던트 가져오기를 처음 시작하기 전까지의 시간입니다. 이 파라미터는 커넥터를 처음 사용 설정한 후 초기 커넥터 반복에 한 번만 적용됩니다. 기본값은 1시간입니다. |
Max Alerts To Fetch |
선택사항
커넥터 반복당 처리할 알림 수입니다. 기본값은 100입니다. 최댓값은 1,000입니다. |
Use dynamic list as a blocklist |
필수
선택하면 동적 목록이 차단 목록으로 사용됩니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수
선택하면 Google SecOps에서 Prisma Cloud 서버에 대한 연결의 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되지 않습니다. |
Proxy Server Address |
선택사항 사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항 인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항 인증할 프록시 비밀번호입니다. |
커넥터 이벤트
다음은 커넥터 이벤트의 예시입니다.
{
"id": "ID",
"status": "open",
"reason": "NEW_ALERT",
"firstSeen": 1706971601230,
"lastSeen": 1706971601230,
"alertTime": 1706971601230,
"lastUpdated": 1707806767098,
"saveSearchId": "b1ccf7df-d2c8-4588-8d06-b62738fd9745",
"policy": {
"policyId": "45488d62-6abe-4938-9b7a-aaa44858540e",
"name": "Data destruction risk due to a publicly exposed and vulnerable Google Cloud VM instance with delete permissions",
"policyType": "attack_path",
"systemDefault": true,
"description": "This policy idnces as soon as possible.",
"severity": "critical",
"recommendation": "The followinge vulnerabilities quickly.",
"labels": [
"Prisma_Cloud"
],
"lastModifiedOn": 1702006359544,
"lastModifiedBy": "user@example.com",
"deleted": false,
"findingTypes": [],
"remediable": false
},
"alertRules": [
{
"policyScanConfigId": "9612cba4-4f76-44ec-b11f-9c01ba9a4c04",
"name": "Default Alert Rule",
"enabled": true,
"scanAll": true,
"target": {
"accountGroups": [],
"excludedAccounts": [],
"regions": [],
"tags": []
},
"createdBy": "example@example.com",
"alertRuleNotificationConfig": [],
"allowAutoRemediate": false,
"notifyOnOpen": true,
"notifyOnSnoozed": false,
"notifyOnDismissed": false,
"notifyOnResolved": false
}
],
"resource": {
"id": "ID",
"name": "gke-gke-pc-pool-1-4e52a225-12id",
"account": "Example-Account",
"accountId": "ACCOUNT_ID",
"cloudAccountGroups": [
"Default Account Group"
],
"region": "US",
"regionId": "us-central1",
"resourceType": "INSTANCE",
"resourceApiName": "gcloud-compute-instances-list",
"cloudServiceName": "Google Compute Engine",
"data": {},
"cloudType": "gcp",
"resourceTs": 1706915178410,
"internalResourceId": "INTERNAL_RESOURCE_ID",
"cloudAccountOwners": [
"user1@example.com",
"user2@example.com"
],
"unifiedAssetId": "393924d2b306c07490b19615c6e1a265",
"resourceConfigJsonAvailable": false,
"resourceDetailsAvailable": true
},
"networkAnomaly": false
}
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.