Erstellen von AutoFocus Feed und Authentifizieren des URL Typs
12569
Created On 03/13/20 14:23 PM - Last Modified 03/26/21 18:10 PM
Objective
Ein AutoFocus Benutzer kann eine Liste von Indikatoren basierend auf der FEEDs-Funktion erstellen. Die Ausgabe "Feed" kann in zwei Formattypen vorliegen, entweder als EDLs oder als URLs. Die URLs können von Drittanbietern , und anderen Diensten, die Listen verwenden, verwendet SIEM TIP URL werden.
Der Artikel behebt den "nicht autorisierten" Fehler, während der Typindikator verwendet URL wird.
Environment
- AutoFocus Benutzerdefinierter Feed für Typ-URLs
Procedure
Erstellen eines benutzerdefinierten Feeds vom Typ URL
- Wählen Sie einen Feed
Melden Sie AutoFocus sich bei der > wählen Sie Feeds auf der linken Seite aus > wählen Sie Feed A erstellen.
- Erstellen eines Feeds
- Erstellen Sie in diesem Beispiel eine Abfrage I für IPv4-Adressen, die das Urteil C2 hat. Die Ausgabemethode wird als " URL ausgewählt.
- Diese Abfrage generiert wie folgt eine Liste von Indikatoren und Zugriffs-URLs.
https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2Hinweis: Die maximale Eingaben pro Anforderung in einem Feed für einen benutzerdefinierten Feed beträgt 5.000. Es ist möglich, dass nicht alle IoC enthalten sind, wenn die Rate, mit der Indikatoren erstellt werden, höher ist als die Rate, mit der ein Dritter abruft.- Zugriff auf diesen Feed
- Wenn Sie sich bei AutoFocus anmelden, können Sie alle IoCs anzeigen, indem Sie auf diesen Feed klicken. Meistens wird ein Klick eine neue Registerkarte im Browser öffnen.
- Wenn Sie nicht angemeldet sind, können IoCs nicht im Browser angezeigt werden. Sie benötigen die API Schlüssel, um außerhalb von auf diesen Feed AutoFocus zuzugreifen.
- Ein API Schlüssel finden Sie unter AutoFocus -> Einstellung.
- Fügen URL Sie im bitte /api/v1.0/ in url hinzu, um auf Feed mit gültigem apiKey zuzugreifen.
curl -isk -X GET "https://autofocus.paloaltonetworks.com/api/v1.0/IOCFeed/<ID>/IPv4AddressC2" -H "apikey:XXXXXX" - Beispiel für die Abfrage: