帕洛阿尔托陷阱TMS

帕洛阿尔托陷阱TMS是一个端点检测和响应软件,检测威胁,如未知的恶意软件,利用,和勒索软件。InsightIDR提供一个Palo Alto Traps TMS事件源,您可以配置该事件源来解析病毒感染文档的威胁日志。

要设置帕洛阿尔托陷阱TMS,你需要:

  1. 回顾“开始之前”并记下任何要求。
  2. 成立于InsightIDR帕洛阿尔托陷阱TMS事件源。
  3. 验证配置是否有效。

在你开始之前

InsightIDR收集器不能直接连接到Palo Alto Traps TMS。您必须设置一台能够从Palo Alto接收日志并将其转发到收集器的机器。

有关设置日志转发的更多信息,请参见:https://docs.paloaltonetworks.com/cortex/log-forwarding/log-forwarding-app-getting-started/get-started-with-log-forwarding-app/forward-logs-from-logging-service-to-系统日志服务器

在InsightIDR设置Palo Alto Traps TMS

  1. 从左边的菜单,转到数据收集
  2. 当“数据采集”页面出现时,点击设置事件源下拉选择添加事件源
  3. 从“病毒扫描”部分,点击帕洛阿尔托陷阱TMS图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择与事件源日志位置匹配的时区。
  6. 如果您正在发送警报之外的其他事件,并希望它们在日志搜索中,请选择未经过滤的日志复选框。
  7. 你可以指定默认域或者,如果需要添加一个新的域。
  8. 输入一个港口号码。
  9. 选择一个协议
  10. 点击节省

验证配置

  1. 从左边的菜单中,单击日志搜索查看日志,以确保事件被发送到收集器。帕洛阿尔托陷阱TMS日志流入病毒警报日志集。
  2. 接下来,执行一个日志搜索,以确保帕洛阿尔托陷阱TMS事件正在通过。

示例输入日志:

         

          日志

           
          

         

          

           

            1

           {\ “MessageSourceAddress \”:\ “100.200.100.200 \”,\ “EventReceivedTime \”:\ “2020年6月17日7时06分51秒\”,\ “SourceModuleName \”:\ “tcp_ssl \”,\”SourceModuleType \ “:\” im_ssl \”,\ “SyslogFacilityValue \”:1,\ “SyslogFacility \”:\ “USER \”,\ “SyslogSeverityValue \”:5,\ “SyslogSeverity \”:\ “通知\”,\ “SeverityValue \”:2,\ “严重性\”:\ “INFO \”,\ “主机名\”:\ “100.200.100.200 \”,\ “EVENTTIME \”:\“2020年12月31日19时21分:06 \ “\ ”消息\“:\”<14> 1 2020-06-17T11:06:51.402Z logforwarder-3029707592971507306-86c58f6f46-42sjg logforwarder 8个panwlogs  - 威胁,,,, 2020-06-17T11:06:24.000000Z,2020-06-17T11:06:25.745518,2020-06-17T11:06:24.000000Z,-240 ,,, 594860012 ,,,,, 1,88cd39eb39c8b0989329df2dc405aa47,1,0,10.0.14393,1,10.10.100.23,HOST,rapid7.org,4,2,7.1.0.45682,132-30505,0,5d6dd5acf5fd4f4c8e3aa2e28db3f160,COMPONENT_WILDFIRE,Malware,CYSTATUS_MALICIOUS_EXE,1,blocked,1,,,0,0,\\\"[\\\"\\\"C:\\\\\\\\ProgramData\\\\\\\\someDir\\\\\\\\AEMAgent\\\\\\\\AEMAgent.exe\\\"\\\",\\\"\\\"045CD7025049C54E11130FCAE0190866C9071585A950683DF8104CA1E4B47282\\\"\\\",\\\"\\\"045CD7025049C54E11130FCAE0190866C9071585A950683DF8104CA1E4B47282\\\"\\\",\\\"\\\"1\\\"\\\"]\\\",0,,0,\\\"[{\\\"\\\"pid\\\"\\\":4764,\\\"\\\"parentId\\\"\\\":2792,\\\"\\\"exeFileIdx\\\"\\\":0,\\\"\\\"userIdx\\\"\\\":0,\\\"\\\"commandLine\\\"\\\":\\\"\\\"\\\\\\\"\\\"C:\\\\\\\\ProgramData\\\\\\\\someDir\\\\\\\\AEMAgent\\\\\\\\AEMAgent.exe\\\\\\\"\\\"\\\"\\\",\\\"\\\"instanceId\\\"\\\":\\\"\\\"AdZEl1aTU4kAABKcAAAAAA==\\\"\\\",\\\"\\\"terminated\\\"\\\":1}]\\\",\\\"[{\\\"\\\"rawFullPath\\\"\\\":\\\"\\\"C:\\\\\\\\ProgramData\\\\\\\\someDir\\\\\\\\AEMAgent\\\\\\\\AEMAgent.exe\\\"\\\",\\\"\\\"fileName\\\"\\\":\\\"\\\"AEMAgent.exe\\\"\\\",\\\"\\\"sha256\\\"\\\":\\\"\\\"045CD7025049C54E11130FCAE0190866C9071585A950683DF8104CA1E4B47282\\\"\\\",\\\"\\\"fileSize\\\"\\\":\\\"\\\"65537200\\\"\\\",\\\"\\\"innerObjectSha256\\\"\\\":\\\"\\\"045CD7025049C54E11130FCAE0190866C9071585A950683DF8104CA1E4B47282\\\"\\\",\\\"\\\"signers\\\"\\\":[\\\"\\\"rapid7 Inc\\\"\\\"]}]\\\",\\\"[{\\\"\\\"userName\\\"\\\":\\\"\\\"SYSTEM\\\"\\\",\\\"\\\"domainUser\\\"\\\":\\\"\\\"SYSTEM\\\"\\\"}]\\\",[],WildFire Malware\"}
          
         

          日志

           
          

         

          

           

            1

           <14>1 2020-06-17T11:06:58.161Z logforwarder-3029707592971507306-86c58f6f46-42sjg logforwarder 8 panwlogs -威胁……2020 - 06 - 17 t11:06:51.000000z, 2020 - 06 - 17 t11:06:53.224573 2020 - 06 - 17 t11:06:51.000000z, -240……594860012……93 d1c4f6fb3a4252612125a201808681, 1, 0, 10.0.14393, 1, 10.134.10.116,主机,rapid7.org, 4, 2, 7.1.0.45682, 132 - 30505, 0, 376248687 c27489db415551540c6a648, COMPONENT_WILDFIRE,恶意软件,CYSTATUS_MALICIOUS_EXE, 1,封锁,1…0,0 ,\\\"[\\\"\\\" C: \ \ \ \ \ \ \ \公关ogramData \ \ \ \ \ \ \ \ someDir \ \ \ \ \ \ \ \ AEMAgent \ \ \ \ \ \ \ \ AEMAgent.exe \\\"\\\",\\\"\\\" 045年cd7025049c54e11130fcae0190866c9071585a950683df8104ca1e4b47282 \\\"\\\",\\\"\\\" 045年cd7025049c54e11130fcae0190866c9071585a950683df8104ca1e4b47282 \\\"\\\",\\\"\\\" 1 \\\"\\\"]\\\", 0, 0 ,\\\"[{\\\"\\\" pid \ \ \ \ \ \”:3644年,\ \ \ \ \ \“parentId \ \ \ \ \ \”:6420年,\ \ \ \ \ \“exeFileIdx \ \ \ \ \ \ ": \ 0\ \ " \ \ \ " userIdx \ \ \ \ \ \”:0,\ \ \ \ \ \“命令行 \\\"\\\":\\\"\\\"\\\\\\\"\\\" C: \ \ \ \ \ \ \ \ ProgramData \ \ \ \ \ \ \ \ someDir \ \ \ \ \ \ \ \ AEMAgent \ \ \ \ \ \ \ \ AEMAgent.exe \\\\\\\"\\\"\\\"\\\",\\\"\\\" instanceId \\\"\\\":\\\"\\\" AdZEl2bKU24AAA48AAAAAA ==\\\"\\\",\\\"\\\" 终止\ \ \ \ \ \”:1 }]\\\",\\\"[{\\\"\\\" rawFullPath \\\"\\\":\\\"\\\" C: \ \ \ \ \ \ \ \ ProgramData \ \ \ \ \ \ \ \ someDir \ \ \\ \ \ \ \ AEMAgent \ \ \ \ \ \ \ \ AEMAgent.exe \\\"\\\",\\\"\\\" 文件名 \\\"\\\":\\\"\\\" AEMAgent.exe \\\"\\\",\\\"\\\" sha256 \\\"\\\":\\\"\\\" 045年cd7025049c54e11130fcae0190866c9071585a950683df8104ca1e4b47282 \\\"\\\",\\\"\\\" 文件大小 \\\"\\\":\\\"\\\" 65537200 \\\"\\\",\\\"\\\" innerObjectSha256 \\\"\\\":\\\"\\\" 045年cd7025049c54e11130fcae0190866c9071585a950683df8104ca1e4B47282 \\\"\\\",\\\"\\\" 签署者 \\\"\\\":[\\\"\\\" 公司公司 \\\"\\\"]}]\\\",\\\"[{\\\"\\\" 用户名 \\\"\\\":\\\"\\\" 系统 \\\"\\\",\\\"\\\" domainUser \\\"\\\":\\\"\\\" 系统 \\\"\\\"}]\\\",[], 野火恶意软件