Palo Alto Networks-Firewallprotokolle erfassen

Palo Alto Networks-Firewall

Übersicht

In diesem Dokument wird beschrieben, wie Sie Syslog und einen Google SecOps-Forwarder konfigurieren, um Firewall-Logs von Palo Alto Networks zu erfassen. In diesem Dokument wird auch erläutert, wie Palo Alto Networks-Firewall-Logfelder den Feldern des Google SecOps Unified Data Model (UDM) zugeordnet werden. Eine Übersicht über die Datenaufnahme in Google SecOps finden Sie unter Datenaufnahme in Google SecOps. Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahme-Label „PAN_FIREWALL“.

Hinweise

• Prüfen Sie, ob das Firewallprodukt von Palo Alto Networks richtig bereitgestellt und konfiguriert ist. Eine ausführliche Einrichtungsanleitung finden Sie in der PAN-OS-Dokumentation.

• Sehen Sie sich die Bereitstellungsarchitektur an, um die Komponenten zu verstehen, die zum Erfassen von Palo Alto Networks-Firewall-Logs bereitgestellt werden. Die Bereitstellung bei jedem Kunden kann von dieser Darstellung abweichen und komplexer sein. Das folgende Diagramm zeigt, wie Sie Syslog auf einer Palo Alto Networks-Firewall konfigurieren und einen Google SecOps-Forwarder auf einem Linux-Server installieren, um Protokolldaten an Google SecOps weiterzuleiten. Der Parser unterstützt Protokolle in den folgenden Datenformaten: Comma Separated Values (CSV), Common Event Format (CEF) und Log Event Extended Format (LEEF).

  

• Prüfen Sie die Logformate und PAN-OS-Versionen, die vom Google SecOps-Parser unterstützt werden. In der folgenden Tabelle sind die Logformate und die entsprechenden PAN-OS-Versionen aufgeführt, die vom Google SecOps-Parser unterstützt werden:

  Log format	PAN-OS-Version
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• Prüfen Sie die Palo Alto Networks-Firewall-Logtypen, die vom Google SecOps-Parser unterstützt werden. Der Google SecOps-Parser unterstützt die folgenden Palo Alto Networks-Firewall-Logtypen:

  • Traffic
  • Bedrohung
  • WildFire-Einreichungen
  • Tunnelinspektion
  • Konfiguration
  • System
  • Übereinstimmung mit dem HIP
  • IP-Tag
  • User-ID
  • Entschlüsselung
  • Authentifizierung
  • URL-Filter
  • Datenfilterung
  • GlobalProtect
  • Ergebnisse in Beziehung setzen
  • GTP
  • SCTP
  • Audit

  Weitere Informationen zu den Palo Alto Networks-Firewall-Logtypen finden Sie unter PAN-OS-Logtypen.

• Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.

• Bevor Sie den Palo Alto Networks-Firewallparser verwenden, sollten Sie sich die Änderungen bei den Feldzuordnungen zwischen dem vorherigen Parser und dem aktuellen Palo Alto Networks-Firewallparser ansehen. Achten Sie im Rahmen der Migration darauf, dass für Regeln, Suchvorgänge, Dashboards oder andere Prozesse, die von den ursprünglichen Feldern abhängen, die aktualisierten Felder verwendet werden.

  In der vorherigen Parserversion wird das Logfeld category beispielsweise dem UDM-Feld security_result.description zugeordnet. Im aktuellen Palo Alto Networks-Firewall-Parser wird das Logfeld category dem UDM-Feld security_result.category_details zugeordnet. Wenn Sie zur aktuellen Palo Alto Networks-Firewall migrieren und das Feld category in Ihren Regeln verwenden, müssen Sie die Regeln so ändern, dass das UDM-Feld security_result.category_details des aktuellen Parsers verwendet wird.

Syslog und den Google Security Operations-Forwarder konfigurieren

Führen Sie die folgenden Schritte aus, um Syslog und den Google SecOps-Forwarder zu konfigurieren:

1. Konfigurieren Sie das Syslog-Serverprofil, um CSV-Logs zu überwachen. Weitere Informationen finden Sie unter Syslog-Serverprofil konfigurieren. Wenn Sie das Syslog-Serverprofil konfigurieren, geben Sie „Default“ als benutzerdefiniertes Logformat an.
2. Wenn Sie CEF-Logs überwachen möchten, konfigurieren Sie die Palo Alto Networks-Firewall so, dass CEF-Logs weitergeleitet werden. Weitere Informationen finden Sie im PAN-OS CEF Integration Guide (PDF) im Abschnitt „Configuration of Palo Alto Networks NGFW to output CEF events“.
3. Konfigurieren Sie das Syslog-Serverprofil, um LEEF-Logs zu überwachen. Weitere Informationen finden Sie unter Benutzerdefinierte Logweiterleitung im LEEF-Format.

4. Konfigurieren Sie den Google SecOps-Forwarder so, dass Logs an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google SecOps-Forwarder-Konfiguration:

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

Syslog-Weiterleitung auf PAN Firewall konfigurieren

Syslog-Serverprofil erstellen

1. Melden Sie sich in der Palo Alto Networks Firewall Management Console an.
2. Gehen Sie zu Gerät > Serverprofile > Syslog.
3. Klicken Sie auf Hinzufügen, um ein neues Serverprofil zu erstellen.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps BindPlane.
   • Standort: Wählen Sie das virtuelle System (vsys) oder Shared (Freigegeben) aus, in dem dieses Profil verfügbar sein soll.
5. Klicken Sie auf Servers > Add, um den Syslog-Server zu konfigurieren.
6. Geben Sie die folgenden Details zur Serverkonfiguration an:
   • Name: Geben Sie einen aussagekräftigen Namen für den Server ein, z. B. BindPlane Agent.
   • Syslog-Server: Geben Sie die IP-Adresse des BindPlane-Agents ein.
   • Transport: Wählen Sie je nach BindPlane-Agent-Konfiguration UDP oder TCP aus (UDP ist die Standardeinstellung).
   • Port: Geben Sie die Portnummer des BindPlane-Agents ein (z. B. 514).
   • Format: Wählen Sie je nach Bedarf BSD (Standard) oder IETF aus.
   • Einrichtung: Wählen Sie LOG_USER (Standard) oder eine andere Einrichtung aus.
7. Klicken Sie auf OK, um das Syslog-Serverprofil zu speichern.

Optional: Benutzerdefiniertes Logformat für CEF oder LEEF konfigurieren

Wenn Sie anstelle von CSV-Dateien CEF- (Common Event Format) oder LEEF-Logs (Log Event Extended Format) benötigen:

1. Wählen Sie im Syslog-Serverprofil den Tab Benutzerdefiniertes Logformat aus.
2. Konfigurieren Sie das benutzerdefinierte Logformat für jeden Logtyp (Konfiguration, System, Bedrohung, Traffic, URL, Daten, WildFire, Tunnel, Authentifizierung, User-ID, HIP Match).
3. Informationen zur Konfiguration des CEF-Formats finden Sie im Palo Alto Networks CEF Configuration Guide.
4. Klicken Sie auf OK, um die Konfiguration zu speichern.

Profil für die Logweiterleitung erstellen

1. Rufen Sie Objekte > Log-Weiterleitung auf.
2. Klicken Sie auf Hinzufügen, um ein neues Profil für die Protokollweiterleitung zu erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name: Geben Sie einen Profilnamen ein, z. B. Google SecOps Forwarding. Wenn die Firewall dieses Profil automatisch neuen Sicherheitsregeln und Zonen zuweisen soll, nennen Sie es default.
4. Konfigurieren Sie für jeden Logtyp, den Sie weiterleiten möchten (Traffic, Threat, WildFire Submission, URL Filtering, Data Filtering, Tunnel, Authentication), Folgendes:
   • Klicken Sie im entsprechenden Protokolltyp-Abschnitt auf Hinzufügen.
   • Syslog: Wählen Sie das von Ihnen erstellte Syslog-Serverprofil aus (z. B. Google SecOps BindPlane).
   • Logschweregrad: Wählen Sie die Schweregrade aus, die weitergeleitet werden sollen, z. B. Alle.
5. Klicken Sie auf OK, um das Profil für die Protokollweiterleitung zu speichern.

Logweiterleitungsprofil auf Sicherheitsrichtlinien anwenden

1. Rufen Sie Richtlinien > Sicherheit auf.
2. Wählen Sie die Sicherheitsregeln aus, für die Sie die Logweiterleitung aktivieren möchten.
3. Klicken Sie auf die Regel, um sie zu bearbeiten.
4. Rufen Sie den Tab Aktionen auf.
5. Wählen Sie im Menü Log Forwarding (Log-Weiterleitung) das von Ihnen erstellte Profil für die Log-Weiterleitung aus (z. B. Google SecOps Forwarding).
6. Klicken Sie auf OK, um die Konfiguration der Sicherheitsrichtlinie zu speichern.

Logeinstellungen für Systemlogs konfigurieren

1. Gehen Sie zu Gerät > Protokolleinstellungen.
2. Wählen Sie für jeden Logtyp (System, Konfiguration, Nutzer-ID, HIP-Abgleich, GlobalProtect, IP-Tag, SCTP) und jede Schweregradstufe das von Ihnen erstellte Syslog-Serverprofil aus.
3. Klicken Sie auf OK, um die Protokolleinstellungen zu speichern.

Änderungen per Commit durchführen

1. Klicken Sie oben in der Web-Oberfläche der Firewall auf Commit.
2. Warten Sie, bis der Commit erfolgreich abgeschlossen ist.
3. Prüfen Sie in der Google SecOps Console, ob Palo Alto Networks-Firewall-Logs eingehen, um zu bestätigen, dass Logs an den Bindplane-Agent gesendet werden.

Logs mit dem BindPlane-Agent an Google SecOps weiterleiten

1. Installieren und richten Sie eine virtuelle Linux-Maschine ein.
2. BindPlane-Agent unter Linux installieren und konfigurieren, um Logs an Google SecOps weiterzuleiten Weitere Informationen zur Installation und Konfiguration des Bindplane-Agents finden Sie in der Anleitung zur Installation und Konfiguration des Bindplane-Agents.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.

Unterstützte Logformate

Der Palo Alto Networks-Firewall-Parser unterstützt Logs im LEEF-, CEF- und CSV-Format.

Unterstützte Beispiellogs

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

Referenz zur Feldzuordnung: Logfelder zu UDM-Feldern

In diesem Abschnitt wird beschrieben, wie der Parser Palo Alto Networks-Firewall-Logfelder für jeden Logtyp Google SecOps UDM-Ereignisfeldern zuordnet. Der Google SecOps-Labelschlüssel bezieht sich auf den Namen des Schlüssels, der dem UDM-Feld „Labels.key“ zugeordnet ist.

Beispiel: Für das Feld „Virtual System“ ist der Feldname im CEF-Format „cs3“ und im LEEF-Format „VirtualSystem“. Das UDM-Feld „about.labels.key“ enthält den Wert „vsys“ und das UDM-Feld „about.labels.value“ enthält den Wert dieses Felds. Einige CEF- oder LEEF-Feldnamen haben keinen Namen, der den CSV-Feldnamen entspricht. Wenn Sie in solchen Fällen einen eigenen Variablennamen im benutzerdefinierten Logformat im Syslog-Profil hinzufügen, wird er vom Parser nicht dem UDM-Feld zugeordnet.

In den folgenden Abschnitten finden Sie eine Zuordnungsreferenz für jeden Logtyp:

• System
• Konfiguration
• Bedrohung/Waldbrand
• Traffic
• Nutzer-ID
• HIP-Abgleich
• IP-Tag
• Entschlüsselung
• Tunnel
• Authentifizierung
• URL
• Daten
• GlobalProtect
• Korrelation
• GTP
• SCTP
• Prüfung

System

In der folgenden Tabelle sind die Logfelder des Systemlogtyps und die entsprechenden UDM-Felder aufgeführt.

Konfiguration

In der folgenden Tabelle sind die Logfelder des Konfigurationslogtyps und die entsprechenden UDM-Felder aufgeführt.

Threat/WildFire

In der folgenden Tabelle sind die Logfelder des Logtyps „Threat/WildFire“ und die entsprechenden UDM-Felder aufgeführt.

Traffic

In der folgenden Tabelle sind die Logfelder des Traffic-Logtyps und die entsprechenden UDM-Felder aufgeführt.

User-ID

In der folgenden Tabelle sind die Logfelder des Logtyps „Nutzer-ID“ und die entsprechenden UDM-Felder aufgeführt.

Übereinstimmung mit dem HIP

In der folgenden Tabelle sind die Logfelder des Logtyps „HIP-Abgleich“ und die entsprechenden UDM-Felder aufgeführt.

IP-Tag

In der folgenden Tabelle sind die Logfelder des Logtyps „IP-Tag“ und die entsprechenden UDM-Felder aufgeführt.

Entschlüsselung

In der folgenden Tabelle sind die Logfelder des Entschlüsselungslogtyps und die entsprechenden UDM-Felder aufgeführt.

Tunnel

In der folgenden Tabelle sind die Logfelder des Tunnel-Logtyps und die entsprechenden UDM-Felder aufgeführt.

Authentifizierung

In der folgenden Tabelle sind die Logfelder des Authentifizierungslogtyps und die entsprechenden UDM-Felder aufgeführt.

URL

In der folgenden Tabelle sind die Logfelder des URL-Logtyps und die entsprechenden UDM-Felder aufgeführt.

Daten

In der folgenden Tabelle sind die Logfelder des Datenlogtyps und die entsprechenden UDM-Felder aufgeführt.

GlobalProtect

In der folgenden Tabelle sind die Logfelder des GlobalProtect-Logtyps und die entsprechenden UDM-Felder aufgeführt.

Ergebnisse in Beziehung setzen

In der folgenden Tabelle sind die Logfelder des Typs „Korrelation“ und die entsprechenden UDM-Felder aufgeführt.

GTP

In der folgenden Tabelle sind die Logfelder des Logtyps „gtp“ und die entsprechenden UDM-Felder aufgeführt.

SCTP

Audit

Feldzuordnung – Referenz: Protokolltypen zu UDM-Ereignistyp

In der folgenden Tabelle sind die Palo Alto Networks-Firewall-Logtypen und die entsprechenden UDM-Ereignistypen aufgeführt.

Logtyp	UDM-Ereignistyp
Traffic	NETWORK_CONNECTION
Bedrohung	NETWORK_CONNECTION
URL-Filter	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION WildFire-Übermittlungsprotokolle sind ein Untertyp des Threat-Protokolltyps und verwenden dasselbe Syslog-Format.
Datenfilterung	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Konfiguration	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED Der Wert des Felds „Befehl (cmd)“ bestimmt die Zuordnung des UDM-Ereignistyps. Wenn der Wert des Felds „cmd“ „add“ oder „clone“ ist, wird „SETTING_CREATION“ festgelegt. Wenn der Wert des Felds „cmd“ „delete“ ist, wird „SETTING_DELETION“ festgelegt. Wenn der Wert des Felds „cmd“ „edit“, „move“, „rename“, „set“ oder „commit“ ist, wird SETTING_MODIFICATION festgelegt. Wenn der Wert des Felds „cmd“ keine Werte enthält, wird SETTING_UNCATEGORIZED festgelegt.
System	Wenn der Untertypwert „dhcp“ ist, wird NETWORK_DHCP festgelegt. Wenn der Untertypwert „auth“ ist, wird USER_LOGIN festgelegt. Wenn der Wert für „description“ „logged in“ lautet, wird USER_LOGIN festgelegt. Wenn der Wert der Beschreibung „logged out“ lautet, wird USER_LOGOUT festgelegt. Für andere Werte des Subtyps wird GENERIC_EVENT festgelegt.
HIP-Abgleich	NETWORK_CONNECTION
IP-Tag	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Wenn der Untertypwert „login“ ist, wird USER_LOGIN festgelegt. Wenn der Untertypwert „logout“ ist, wird USER_LOGOUT festgelegt. Wenn der Untertyp keinen Wert enthält, wird USER_UNCATEGORIZED festgelegt.
Entschlüsselung	NETWORK_CONNECTION
Authentifizierung	GENERIC_EVENT
SCTP	NETWORK_CONNECTION
Audit	GENERIC_EVENT

UDM-Zuordnungsdelta

UDM-Mapping-Delta-Referenz: Palo Alto Networks Firewall

In der folgenden Tabelle sind die Unterschiede zwischen der alten UDM-Zuordnung von Palo Alto Networks Firewall und der neuen UDM-Zuordnung von Palo Alto Networks Firewall aufgeführt.

Palo Alto Networks Firewall Strata Logging Service

Übersicht

Der Palo Alto Networks® Strata Logging Service bietet cloudbasierten, zentralen Protokollspeicher und ‑aggregation für Ihre lokalen, virtuellen (private Cloud und öffentliche Cloud) Firewalls, für Prisma Access und für cloudbasierte Dienste wie Cortex XDR.Der Strata Logging Service ist sicher, robust und fehlertolerant und sorgt dafür, dass Ihre Protokolldaten aktuell und verfügbar sind, wenn Sie sie benötigen. Sie bietet eine skalierbare Logging-Infrastruktur, sodass Sie keine Log Collectors planen und bereitstellen müssen, um Ihre Anforderungen an die Logaufbewahrung zu erfüllen. Wenn Sie bereits lokale Log Collectors haben, kann der neue Strata Logging Service Ihre vorhandene Einrichtung ergänzen. Sie können Ihre vorhandene Infrastruktur für die Protokollerfassung mit dem cloudbasierten Strata Logging Service erweitern, um die Betriebskapazität mit dem Wachstum Ihres Unternehmens zu steigern oder den Kapazitätsbedarf für neue Standorte zu decken.Mit diesem Dienst übernimmt Palo Alto Networks die laufende Wartung und Überwachung der Protokollinfrastruktur, sodass Sie sich auf Ihr Unternehmen konzentrieren können.

• Prüfen Sie die Logformate und PAN-OS-Versionen, die vom Strata Logging Service-Parser unterstützt werden. In der folgenden Tabelle sind die Protokollformate und die entsprechenden PAN-OS-Versionen aufgeführt, die vom Strata Logging Service-Parser unterstützt werden:

  Log format	PAN-OS-Version
  JSON	12.1

• Prüfen Sie die Palo Alto Networks-Firewall-Logtypen, die vom Google SecOps-Parser unterstützt werden. Der Google SecOps-Parser unterstützt die folgenden Palo Alto Networks-Firewall-Logtypen:

  • Traffic
  • Bedrohung
  • Tunnelinspektion
  • System
  • Übereinstimmung mit dem HIP
  • IP-Tag
  • User-ID
  • Entschlüsselung
  • Authentifizierung
  • URL-Filter
  • GlobalProtect

Bereitstellung des Strata Logging-Dienstes

• Prüfen Sie, ob das Firewallprodukt von Palo Alto Networks richtig bereitgestellt und konfiguriert ist. Eine detaillierte Einrichtungsanleitung finden Sie in der PAN-OS-Dokumentation. Folgen Sie dann dieser Bereitstellungsanleitung, bevor Sie Logs an den Strata Logging Service senden: Voraussetzungen für die Bereitstellung des Strata Logging Service.

Senden von Logs an den Strata Logging Service starten:

So senden Sie Logs an den Strata Logging Service:

1. Installieren einer unterstützten PAN‑OS®-Version
2. Strata Logging Service aktivieren: Bei der Aktivierung von Strata Logging Service wird das Zertifikat bereitgestellt, das die Firewalls für eine sichere Verbindung zu Strata Logging Service benötigen.
3. Firewalls in Strata Logging Service einbinden – mit oder ohne Panorama

Eine ausführliche Anleitung finden Sie in der Dokumentation.

Logs vom Strata Logging Service weiterleiten

Um Ihre Anforderungen an die langfristige Speicherung, Berichterstellung und Überwachung oder an rechtliche und Compliance-Anforderungen zu erfüllen, können Sie den Strata Logging Service so konfigurieren, dass Logs an einen HTTPS-Server oder an die folgenden SIEMs weitergeleitet werden:

1. Exabeam
2. Google Chronicle
3. Microsoft Sentinel
4. Splunk HTTP Event Collector (HEC)

Verwenden Sie die HTTPS-Weiterleitungsmethode, um die Logs über den Strata Logging Service weiterzuleiten. Weitere Informationen finden Sie in dieser Dokumentation.

Unterstützte Logformate

Der Firewall-Parser für den Palo Alto Networks Strata Logging Service unterstützt Logs im JSON-Format.

Unterstützte Beispiellogs

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

Referenz zur Feldzuordnung: Logfelder zu UDM-Feldern

In diesem Abschnitt wird beschrieben, wie der Parser Firewall-Logfelder des Palo Alto Networks Strata Logging Service für jeden Logtyp Google UDM-Ereignisfeldern zuordnet.

In den folgenden Abschnitten finden Sie eine Zuordnungsreferenz für jeden Logtyp:

• System
• Bedrohung
• Traffic
• Nutzer-ID
• HIP-Abgleich
• IP-Tag
• Entschlüsselung
• Tunnel
• Authentifizierung
• URL
• GlobalProtect
• SCTP
• Prüfung

System

In der folgenden Tabelle sind die Logfelder des Systemlogtyps und die entsprechenden UDM-Felder aufgeführt.

Bedrohung

In der folgenden Tabelle sind die Logfelder des Logtyps „Threat“ und die entsprechenden UDM-Felder aufgeführt.

Traffic

In der folgenden Tabelle sind die Logfelder des Logtyps „Traffic“ und die entsprechenden UDM-Felder aufgeführt.

User-ID

In der folgenden Tabelle sind die Logfelder des Logtyps „User-ID“ und die entsprechenden UDM-Felder aufgeführt.

Übereinstimmung mit dem HIP

In der folgenden Tabelle sind die Logfelder des Logtyps „HIP-Abgleich“ und die entsprechenden UDM-Felder aufgeführt.

IP-Tag

In der folgenden Tabelle sind die Logfelder des Logtyps „IP-Tag“ und die entsprechenden UDM-Felder aufgeführt.

Entschlüsselung

In der folgenden Tabelle sind die Logfelder des Logtyps „Entschlüsselung“ und die entsprechenden UDM-Felder aufgeführt.

Tunnel

In der folgenden Tabelle sind die Logfelder des Tunnel-Logtyps und die entsprechenden UDM-Felder aufgeführt.

Authentifizierung

In der folgenden Tabelle sind die Logfelder des Logtyps „Authentifizierung“ und die entsprechenden UDM-Felder aufgeführt.

URL

In der folgenden Tabelle sind die Logfelder des URL-Logtyps und die entsprechenden UDM-Felder aufgeführt.

GlobalProtect

In der folgenden Tabelle sind die Logfelder des GlobalProtect-Logtyps und die entsprechenden UDM-Felder aufgeführt.

SCTP

In der folgenden Tabelle sind die Logfelder des SCTP-Logtyps und die entsprechenden UDM-Felder aufgeführt.

Audit

In der folgenden Tabelle sind die Logfelder des Audit-Logtyps und die entsprechenden UDM-Felder aufgeführt.

Feldzuordnung – Referenz: Protokolltypen zu UDM-Ereignistyp

In der folgenden Tabelle sind die Firewall-Logtypen von Palo Alto Networks Strata Logging Service und die entsprechenden UDM-Ereignistypen aufgeführt.

Logtyp	UDM-Ereignistyp
Traffic	NETWORK_CONNECTION
Bedrohung	NETWORK_CONNECTION
URL-Filter	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
System	Wenn der Untertypwert „dhcp“ ist, wird NETWORK_DHCP festgelegt. Wenn der Untertypwert „auth“ ist, wird USER_LOGIN festgelegt. Wenn der Wert für „description“ „logged in“ lautet, wird USER_LOGIN festgelegt. Wenn der Wert der Beschreibung „logged out“ lautet, wird USER_LOGOUT festgelegt. Für andere Werte des Subtyps wird GENERIC_EVENT festgelegt.
HIP-Abgleich	NETWORK_CONNECTION
IP-Tag	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Wenn der Untertypwert „login“ ist, wird USER_LOGIN festgelegt. Wenn der Untertypwert „logout“ ist, wird USER_LOGOUT festgelegt. Wenn der Untertyp keinen Wert enthält, wird USER_UNCATEGORIZED festgelegt.
Entschlüsselung	NETWORK_CONNECTION
Authentifizierung	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS Wenn der Untertypwert „auth“ ist, wird USER_LOGIN festgelegt. Wenn der Untertypwert „logout“ ist, wird USER_LOGOUT festgelegt. Wenn der Untertyp keinen Wert enthält, wird USER_RESOURCE_ACCESS festgelegt.
SCTP	NETWORK_CONNECTION
Audit	NETWORK_CONNECTION

Nächste Schritte

• Datenaufnahme in Google SecOps

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten