Cómo crear AutoFocus feed y autenticar el URL tipo
11731
Created On 03/13/20 14:23 PM - Last Modified 03/26/21 18:10 PM
Objective
Un AutoFocus usuario puede crear una lista de indicadores basados en la función FEEDs. La salida "Feed" puede estar en dos tipos de formato, ya sea como EDLs o como URL. Las direcciones URL pueden ser consumidas por el tercero SIEM y otros servicios que usan TIP URL listas.
El artículo aborda el error "no autorizado" al consumir el URL indicador de tipo.
Environment
- AutoFocus Fuente personalizada para URL de tipo
Procedure
Crear una fuente personalizada de tipo URL
- Seleccione un feed
Inicie sesión AutoFocus en el > seleccione Feeds en el lado izquierdo > seleccione Create A Feed.
- Crear una fuente
- Cree una consulta, en este ejemplo, I ha creado una consulta para direcciones IPv4, que tiene el veredicto como C2. El método de salida se selecciona como " URL ."
- Esta consulta generará una lista de indicadores y direcciones URL de acceso como se indica a continuación.
https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2Nota: Máximo de entradas por solicitud en una fuente para una fuente definida por el usuario 5.000. Es posible que no se incluya toda la IoC si la tasa a la que se producen los indicadores es superior a la tasa a la que se está recuperando una tercera parte.- Acceder a este feed
- Si está iniciando sesión AutoFocus en , puede ver todas las IOC haciendo clic en esta fuente. Lo más probable es que al hacer clic se abrirá una nueva pestaña en el navegador.
- Si no ha iniciado sesión, los Ioc no se pueden mostrar en el explorador. Necesitará las API claves para acceder a esta fuente fuera de AutoFocus .
- Se API puede encontrar una clave en la configuración de AutoFocus ->.
- En el URL , agregue /api/v1.0/ en url para acceder a la fuente con apiKey válido.
curl -isk -X GET "https://autofocus.paloaltonetworks.com/api/v1.0/IOCFeed/<ID>/IPv4AddressC2" -H "apikey:XXXXXX" - Ejemplo de la consulta: