Palo Alto Networks Prisma Cloud
Este documento fornece orientações sobre como integrar o Palo Alto Networks Prisma Cloud com o módulo SOAR do Google Security Operations. Na plataforma Google SecOps, a integração para o Palo Alto Networks Prisma Cloud chama-se Palo Alto Prisma Cloud.
Versão da integração: 3.0
Integre o Prisma Cloud com o Google SecOps
A integração requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório A raiz da API da instância do Prisma Cloud. O valor predefinido é |
Access Key ID |
Obrigatório O ID da chave de acesso da conta do Prisma Cloud. |
Secret Access Key |
Obrigatório A chave de acesso secreta da conta do Prisma Cloud. |
Verify SSL |
Obrigatório Se estiver selecionada, o Google SecOps verifica se o certificado SSL para a ligação ao servidor do Prisma Cloud é válido. Selecionado por predefinição. |
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância do Prisma Cloud, pode usá-la em manuais de procedimentos. Para obter informações sobre a configuração e o apoio técnico de várias instâncias do Prisma Cloud, consulte o artigo Apoio técnico de várias instâncias.
Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Segue-se a lista de ações disponíveis na integração do Prisma Cloud:
Enriqueça os recursos
Use o Prisma Cloud para enriquecer as informações sobre um recurso.
Esta ação não é executada em entidades do Google SecOps. Para mais informações sobre as entidades suportadas, consulte o artigo Que tipos de entidades suportamos.
Dados de ações
A ação requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Asset Identifiers |
Obrigatório Uma lista separada por vírgulas de identificadores de recursos para os quais quer obter os detalhes. Um identificador de recurso é um ID do recurso ou um nome de recurso restrito (RRN) do recurso. |
Resultados da ação
A ação fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade do resultado da ação |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Resultado do script | Disponível |
| Mensagens de saída | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Enrich Assets:
{
"id":"2dcffa4a51d892bcf48ed80652e75650",
"externalAssetId":"5115585594921894848",
"cloudType":"gcp",
"createdTs":1707216238063,
"insertTs":1707216238063,
"dynamicData":null,
"data":{
"id":"5115585594921894848",
"kind":"compute#instance",
"name":"example-name-rgmn",
"tags":{
"items":[
"example-name"
],
"fingerprint":"ycXN3kijHZc="
},
"zone":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/zones/us-central1-a",
"disks":[
{
"boot":true,
"kind":"compute#attachedDisk",
"mode":"READ_WRITE",
"type":"PERSISTENT",
"index":0,
"source":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/zones/us-central1-a/disks/example-name-rgmn",
"licenses":[
"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/licenses/LICENSE_ID"
],
"interface":"SCSI",
"autoDelete":true,
"deviceName":"persistent-disk-0",
"diskSizeGb":"30",
"architecture":"X86_64",
"guestOsFeatures":[
{
"type":"GVNIC"
},
{
"type":"SEV_CAPABLE"
},
{
"type":"UEFI_COMPATIBLE"
},
{
"type":"VIRTIO_SCSI_MULTIQUEUE"
}
],
"shieldedInstanceInitialState":{
"dbxs":[
]
}
}
],
"labels":{
"goog-ccm":"true",
"goog-solutions-console-solution-id":"java-application",
"goog-solutions-console-deployment-name":"java-application"
},
"status":"RUNNING",
"metadata":{
"kind":"compute#metadata",
"items":[
{
"key":"created-by",
"value":"projects/PROJECT_ID/regions/us-central1/instanceGroupManagers/example-name"
},
{
"key":"instance-template",
"value":"projects/PROJECT_ID/global/instanceTemplates/xwiki-us-central1-a-temp"
},
{
"key":"startup-script",
"value":"#! /bin/bash\n\nsed -i \"s/$(echo JGROUP_BUCKET | sed -e 's/\\([[\/.*]\\|\\]\\)/\\\\&/g')/$(echo xwiki-jgroup-PROJECT_ID-gce | sed -e 's/[\/&]/\\\\&/g')/g\" /usr/lib/xwiki/WEB-INF/observation/remote/jgroups/tcp.xml\nsed -i \"s/$(echo ACCESS_KEY | sed -e 's/\\([[\/.*]\\|\\]\\)/\\\\&/g')/$(echo GOOG1E | sed -e 's/[\/&]/\\\\&/g')/g\" /usr/lib/xwiki/WEB-INF/observation/remote/jgroups/tcp.xml\nsed -i \"s/$(echo SECRET_KEY | sed -e 's/\\([[\/.*]\\|\\]\\)/\\\\&/g')/$(echo IvgTtIJJq+68sI9XISo2qMXGyONmFDf7U9QuegN/ | sed -e 's/[\/&]/\\\\&/g')/g\" /usr/lib/xwiki/WEB-INF/observation/remote/jgroups/tcp.xml\n\nDB_PASS=\"$(gcloud secrets versions access --secret xwiki-db-password latest --project PROJECT_NAME)\"\n\nbash /home/xwiki_startup.sh \"203.0.113.2\" \"xwiki\" \"${DB_PASS}\" \"203.0.113.242\"\nbash /home/xwiki_deploy_flavor.sh \"203.0.113.2\" \"xwiki\" \"${DB_PASS}\" \"203.0.113.242\"\n"
}
],
"fingerprint":"_s0ui1yxFME="
},
"selfLink":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/zones/us-central1-a/instances/example-name-rgmn",
"scheduling":{
"preemptible":false,
"automaticRestart":true,
"onHostMaintenance":"MIGRATE",
"provisioningModel":"STANDARD"
},
"cpuPlatform":"Intel Cascade Lake",
"fingerprint":"YBMt5z3lxpI=",
"machineType":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/zones/us-central1-a/machineTypes/n2-standard-2",
"minCpuPlatform":"Intel Cascade Lake",
"serviceAccounts":[
{
"email":"example@developer.gserviceaccount.com",
"scopes":[
"https://www.googleapis.com/auth/cloud-platform",
"https://www.googleapis.com/auth/compute",
"https://www.googleapis.com/auth/devstorage.full_control",
"https://www.googleapis.com/auth/devstorage.read_only",
"https://www.googleapis.com/auth/logging.write",
"https://www.googleapis.com/auth/monitoring.write",
"https://www.googleapis.com/auth/service.management.readonly",
"https://www.googleapis.com/auth/servicecontrol",
"https://www.googleapis.com/auth/trace.append"
]
}
],
"startRestricted":false,
"labelFingerprint":"Cy_Kdpu4cz8=",
"creationTimestamp":"2024-02-05T16:28:31.856-08:00",
"networkInterfaces":[
{
"kind":"compute#networkInterface",
"name":"nic0",
"network":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/networks/NETWORK_ID",
"networkIP":"203.0.113.2",
"stackType":"IPV4_ONLY",
"subnetwork":"https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/us-central1/subnetworks/SUBNETWORK_ID",
"fingerprint":"lpKHF5wzhv4="
}
],
"deletionProtection":false,
"lastStartTimestamp":"2024-02-05T16:28:47.038-08:00",
"shieldedInstanceConfig":{
"enableVtpm":true,
"enableSecureBoot":false,
"enableIntegrityMonitoring":true
},
"shieldedInstanceIntegrityPolicy":{
"updateAutoLearnPolicy":true
}
},
"name":"example-name-rgmn",
"regionId":"us-central1",
"regionName":"US",
"riskGrade":"B",
"stateId":null,
"url":"https://console.cloud.google.comhttps://console.cloud.google.com/compute/instancesDetail/zones/us-central1-a/instances/example-name-rgmn?project=PROJECT_NAME",
"vpcId":null,
"vpcName":null,
"relationshipCounts":1,
"vulnerabilityCounts":{
"critical":17,
"high":38,
"knownExploits":{
"critical":0,
"high":0,
"low":0,
"medium":0
},
"low":31,
"medium":59,
"old":{
"critical":0,
"high":0,
"low":0,
"medium":0
},
"patchable":{
"critical":17,
"high":38,
"low":5,
"medium":26
}
},
"vpcExternalAssetId":null,
"tags":{
"goog-ccm":true,
"xwiki-us-central1-autoscale":"",
"goog-solutions-console-deployment-name":"java-application",
"goog-solutions-console-solution-id":"java-application"
},
"assetType":"Google Compute Engine VM Instance",
"serviceName":"Google Compute Engine",
"resourceType":"Google Compute Engine VM Instance",
"accountGroup":"account",
"accountName":"Example-Name",
"assetClassId":"compute",
"assetClass":"Compute",
"deleted":false,
"problem":[
],
"alertsCount":[
{
"count":5,
"severity":"high"
},
{
"count":3,
"severity":"critical"
},
{
"count":2,
"severity":"low"
}
],
"attributes":{
"altAssetId":"example-name-rgmn.us-central1-a.c.PROJECT_NAME.internal",
"name":"example-name-rgmn.us-central1-a.c.PROJECT_NAME.internal",
"provider":"gcp",
"accountID":"example-account",
"region":"us-central1-a",
"resourceName":"5115585594921894848",
"osRelease":"focal",
"osDistro":"ubuntu",
"distro":"Ubuntu 20.04.5 LTS",
"scannedBy":"Agentless",
"docker":"",
"kubernetes":"",
"cluster":"",
"vmImage":"hsa-xwiki-vm-img-latest",
"collections":[
"All"
],
"scanPassed":true,
"stage":"run",
"lastScanTime":"2024-02-12T18:25:39.39Z"
},
"alertCountBySeverity":[
{
"severity":"high",
"count":5
},
{
"severity":"critical",
"count":3
},
{
"severity":"low",
"count":2
}
]
}
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Enrich Assets:
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro ou falso |
Mensagens de saída
Numa cronologia, a ação Enriquecer recursos fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "Enrich Assets". Reason:
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Tchim-tchim
Use esta ação para testar a conetividade ao servidor do Prisma Cloud.
Dados de ações
Nenhum.
Resultados da ação
A ação fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade do resultado da ação |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
| Mensagens de saída | Disponível |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro ou falso |
Mensagens de saída
Num mural de registos, a ação Ping apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully connected to the Palo Alto Prisma Cloud server with
the provided connection parameters! |
Ação efetuada com êxito. |
Failed to connect to the Palo Alto Prisma Cloud server! Error is
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Responda ao alerta
Use o Prisma Cloud para responder a um alerta.
Esta ação não é executada em entidades do Google SecOps. Para mais informações sobre as entidades suportadas, consulte o artigo Que tipos de entidades suportamos.
Dados de ações
A ação requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Alert ID |
Obrigatório ID do alerta de resposta. |
Response Type |
Opcional Um estado de alerta. Se o valor
|
Snooze Time |
Opcional O tempo de suspensão em horas. |
Dismiss Note |
Opcional Uma nota para justificar uma rejeição. |
Resultados da ação
A ação fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade do resultado da ação |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Resultado do script | Disponível |
| Mensagens de saída | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Respond To Alert:
{
"response_status": {"Reopened", "Snoozed", "Dismissed", "Remediated", "No Remediation Applied."}
}
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Respond to Alert:
| Nome do resultado do script | Valor |
|---|---|
| is_success | Verdadeiro ou falso |
Mensagens de saída
Num mural de registos, a ação Ping apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully responded to an alert with ID
ALERT_ID in Palo Alto Prisma
Cloud. |
Ação efetuada com êxito. |
Error executing action "Respond To Alert". Reason: Alert with
ID ALERT_ID wasn't found in Palo
Alto Prisma Cloud. Please check the spelling. |
Falha na ação. O alerta não foi encontrado. Verifique a ortografia. |
Error executing action "Respond To Alert". Reason: The Response
Type parameter is misconfigured. Select a valid value for the Response
Type parameter. |
Falha na ação. Verifique o valor do parâmetro Response Type. |
Error executing action "Respond To Alert". Reason: Action
couldn't respond to alert with ID
ALERT_ID in Palo Alto Prisma Cloud.
Please check the action configuration parameters. |
Falha na ação. Verifique os valores dos parâmetros de entrada. |
Error executing action "Respond To Alert". Reason:
The Response Type parameter was set to "Snooze". Make sure that the Snooze
Time parameter value is configured and valid. |
Falha na ação. Verifique o valor do parâmetro Snooze Time. |
Error executing action "Respond To Alert". Reason:
ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Conetores
Para ver instruções detalhadas sobre a configuração de um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Palo Alto Prisma Cloud — Conetor de alertas
Use este conetor para extrair alertas do Prisma Cloud.
A lista dinâmica funciona com o parâmetro policy.name, conforme mostrado no exemplo seguinte:
"filters": [
{
"operator": "=",
"name": "policy.name",
"value": "Google Cloud VM instance that is internet reachable with unrestricted access (203.0.113.0/24)"
},
{
"operator": "=",
"name": "policy.name",
"value": "Compute Engine with IAM write access level"
}
]
Entradas do conetor
O conector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório O nome do campo de origem para obter o nome do campo do produto. O valor predefinido é |
Event Field Name |
Obrigatório O nome do campo de origem para obter o nome do campo do evento. O valor predefinido é |
Environment Field Name |
Opcional
O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente não for encontrado, o ambiente é definido como o ambiente predefinido. |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
API Root |
Obrigatório
A raiz da API da instância do Prisma Cloud. O valor predefinido é |
Access Key ID |
Obrigatório
O ID da chave de acesso da conta do Prisma Cloud. |
Secret Access Key |
Obrigatório
A chave de acesso secreta da conta do Prisma Cloud. |
Lowest Severity to Fetch |
Opcional
A gravidade mais baixa dos alertas a obter. Se não fornecer nenhum valor, o conector carrega alertas com todas as gravidades. Valores possíveis:
|
Max Hours Backwards |
Opcional O número de horas antes de o conector começar a obter incidentes. Este parâmetro aplica-se apenas uma vez à iteração inicial do conector depois de o ativar pela primeira vez. O valor predefinido é 1 hora. |
Max Alerts To Fetch |
Opcional
O número de alertas a processar numa iteração do conector. O valor predefinido é 100. O valor máximo é 1000. |
Use dynamic list as a blocklist |
Obrigatório
Se estiver selecionada, a lista dinâmica é usada como uma lista de bloqueio. Não selecionado por predefinição. |
Verify SSL |
Obrigatório
Se estiver selecionada, a Google SecOps verifica se o certificado SSL para a ligação ao servidor do Prisma Cloud é válido. Não selecionado por predefinição. |
Proxy Server Address |
Opcional Endereço do servidor proxy a usar. |
Proxy Username |
Opcional Nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional Palavra-passe do proxy para autenticação. |
Eventos de conetores
Segue-se um exemplo de um evento de conector:
{
"id": "ID",
"status": "open",
"reason": "NEW_ALERT",
"firstSeen": 1706971601230,
"lastSeen": 1706971601230,
"alertTime": 1706971601230,
"lastUpdated": 1707806767098,
"saveSearchId": "b1ccf7df-d2c8-4588-8d06-b62738fd9745",
"policy": {
"policyId": "45488d62-6abe-4938-9b7a-aaa44858540e",
"name": "Data destruction risk due to a publicly exposed and vulnerable Google Cloud VM instance with delete permissions",
"policyType": "attack_path",
"systemDefault": true,
"description": "This policy idnces as soon as possible.",
"severity": "critical",
"recommendation": "The followinge vulnerabilities quickly.",
"labels": [
"Prisma_Cloud"
],
"lastModifiedOn": 1702006359544,
"lastModifiedBy": "user@example.com",
"deleted": false,
"findingTypes": [],
"remediable": false
},
"alertRules": [
{
"policyScanConfigId": "9612cba4-4f76-44ec-b11f-9c01ba9a4c04",
"name": "Default Alert Rule",
"enabled": true,
"scanAll": true,
"target": {
"accountGroups": [],
"excludedAccounts": [],
"regions": [],
"tags": []
},
"createdBy": "example@example.com",
"alertRuleNotificationConfig": [],
"allowAutoRemediate": false,
"notifyOnOpen": true,
"notifyOnSnoozed": false,
"notifyOnDismissed": false,
"notifyOnResolved": false
}
],
"resource": {
"id": "ID",
"name": "gke-gke-pc-pool-1-4e52a225-12id",
"account": "Example-Account",
"accountId": "ACCOUNT_ID",
"cloudAccountGroups": [
"Default Account Group"
],
"region": "US",
"regionId": "us-central1",
"resourceType": "INSTANCE",
"resourceApiName": "gcloud-compute-instances-list",
"cloudServiceName": "Google Compute Engine",
"data": {},
"cloudType": "gcp",
"resourceTs": 1706915178410,
"internalResourceId": "INTERNAL_RESOURCE_ID",
"cloudAccountOwners": [
"user1@example.com",
"user2@example.com"
],
"unifiedAssetId": "393924d2b306c07490b19615c6e1a265",
"resourceConfigJsonAvailable": false,
"resourceDetailsAvailable": true
},
"networkAnomaly": false
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.