この記事では、Palo Alto Network Cortex Data Lake (旧称アプリケーション フレームワーク) を活用するIntelligence Card Extensionについて説明します。
Palo Alto Network Cortexについて
Cortex は、セキュリティ運用チームに高度な機能を提供するように設計された Palo Alto Networks 製品スイートです。現在では、分析、SOAR、 Threat Intelligence製品が Cortex 傘下に含まれていますが、当初は、クライアントが簡単にオン/オフにできるアプリを開発する方法をRecorded Futureなどのサードパーティに提供するプラットフォームであることに重点を置いていました。 Cortex の中心となるのは、ファイアウォール ログやディレクトリ サービス、およびサードパーティがデータ レイクを読み書きできるようにする API を含むクラウドベースのデータ レイクです。詳細については、 https://www.paloaltonetworks.com/cortex をご覧ください。
このインテリジェンス カード拡張機能を使用するには、まず Palo Alto Networks アプリ サイト ( https://apps.paloaltonetworks.com/apps ) にログインします。
「 Recorded Future検索」アプリをクリックして有効にします。
Recorded Future にログインするように求められます。ログイン後、またはすでにログインしている場合は、シンプルな「アクティブ化」ボタンが表示されます。それをクリックしてアプリを起動します。
「許可」をクリックして、Recorded Future にログ サービスからの読み取り権限を付与します。
アプリのアクティベーションが成功すると、「アクティベーションが完了しました」というメッセージが表示されます。
Recorded Future 内で、拡張機能管理者権限を持っている場合は、「有効にする」をクリックして「Palo Alto Networks」拡張機能を有効にできます。
有効にすると、拡張機能が IP、ドメイン、URL、ハッシュIntelligence Cardに表示されるようになります。 たとえば、IP アドレス 91.189.89.198 のインテリジェンス カードの場合:
カードの中央に次の内容が表示されます。
クリックすると、過去 24 時間のログ サービスの検索が開始され、この IP アドレスに一致するトラフィックの詳細が表示されます。
これは内線応答の別の例です。今回は IP アドレス 8.8.8.8 に対するものです。
以下はドメインIntelligence Card (getfond.info 用) の例です。
次に別の例を示します (google.com の場合)。