Comment créer feed AutoFocus et authentifier le URL type
11753
Created On 03/13/20 14:23 PM - Last Modified 03/26/21 18:11 PM
Objective
Un AutoFocus utilisateur peut créer une liste d’indicateurs basés sur la fonction FEEDs. La sortie « Feed » peut être dans deux types de format, soit sous forme d’URL, soit sous forme d’URL. Les URL peuvent être consommées par le tiers SIEM , et TIP d’autres services qui utilisent des URL listes.
L’article traite de l’erreur « non autorisée » lors de la consommation de URL l’indicateur de type.
Environment
- AutoFocus Flux personnalisé pour urls de type
Procedure
Créer un flux personnalisé de type URL
- Sélectionnez un flux
Connectez-vous AutoFocus à > sélectionnez Les flux sur le côté gauche > sélectionnez Créer de A l’alimentation.
- Créer un flux
- Créer une requête, dans cet exemple, ont I créé une requête pour les adresses IPv4, qui a verdict comme C2. La méthode de sortie est sélectionnée comme « URL ».
- Cette requête générera une liste d’indicateurs et accédera aux URL comme suit.
https://autofocus.paloaltonetworks.com/IOCFeed/<ID>/IPv4AddressC2Note: Entrées maximales par demande dans un flux pour un flux défini par l’utilisateur 5 000. Il est possible que tous les CCI ne soient pas inclus si le taux auquel les indicateurs sont produits est plus élevé que le taux auquel une tiercième partie est en train de récupérer.- Accédez à ce flux
- Si vous vous connectez à AutoFocus , vous pouvez voir tous les IOC en cliquant sur ce flux. La plupart du temps probablement en cliquant ouvrira un nouvel onglet dans le navigateur.
- Si vous n’êtes pas connecté, les IOC ne peuvent pas être affichés dans le navigateur. Vous aurez besoin des clés API pour accéder à ce flux en dehors de AutoFocus .
- Une API clé peut être trouvée à AutoFocus -> réglage.
- Dans le URL , s’il vous plaît ajouter / api / v1.0 / dans l’url pour accéder au flux avec apiKey valide.
curl -isk -X GET "https://autofocus.paloaltonetworks.com/api/v1.0/IOCFeed/<ID>/IPv4AddressC2" -H "apikey:XXXXXX" - Exemple de la requête :