Collecter les journaux de pare-feu Palo Alto Networks

Pare-feu Palo Alto Networks

Présentation

Ce document explique comment configurer syslog et un transmetteur Google SecOps pour collecter les journaux de pare-feu Palo Alto Networks. Ce document explique également comment les champs de journaux de pare-feu Palo Alto Networks sont mappés aux champs du modèle de données unifié (UDM) Google SecOps. Pour obtenir une présentation de l'ingestion de données Google SecOps, consultez Ingestion de données dans Google SecOps. Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion PAN_FIREWALL.

Avant de commencer

• Assurez-vous que le produit de pare-feu Palo Alto Networks est correctement déployé et configuré. Pour obtenir des instructions de configuration détaillées, consultez la documentation PAN-OS.

• Pour comprendre les composants déployés pour collecter les journaux de pare-feu Palo Alto Networks, consultez l'architecture de déploiement. Le déploiement de chaque client peut différer de cette représentation et être plus complexe. Le schéma suivant montre comment configurer syslog sur un pare-feu Palo Alto Networks et installer un transmetteur Google SecOps sur un serveur Linux pour transférer les données de journaux vers Google SecOps. L'analyseur accepte les journaux écrits dans les formats de données suivants : valeurs séparées par une virgule (CSV), Common Event Format (CEF) et Log Event Extended Format (LEEF).

  

• Vérifiez les formats de journaux et les versions de PAN-OS compatibles avec l'analyseur Google SecOps. Le tableau suivant répertorie les formats de journaux et les versions PAN-OS correspondantes compatibles avec l'analyseur Google SecOps :

  Format du journal	Version de PAN-OS
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• Vérifiez les types de journaux de pare-feu Palo Alto Networks compatibles avec l'analyseur Google SecOps. L'analyseur Google SecOps est compatible avec les types de journaux de pare-feu Palo Alto Networks suivants :

  • Trafic
  • Menace
  • Envois WildFire
  • Inspection de tunnels
  • Config
  • Système
  • Correspondance HIP
  • IP-Tag
  • User-ID
  • Déchiffrement
  • Authentification
  • Filtrage des URL
  • Filtrage des données
  • GlobalProtect
  • Corrélation
  • GTP
  • SCTP
  • Audit

  Pour en savoir plus sur les types de journaux de pare-feu Palo Alto Networks, consultez Types de journaux PAN-OS.

• Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.

• Avant d'utiliser l'analyseur de pare-feu Palo Alto Networks, consultez les modifications apportées aux mappages de champs entre l'ancien analyseur et l'analyseur de pare-feu Palo Alto Networks actuel. Lors de la migration, assurez-vous que les règles, les recherches, les tableaux de bord ou les autres processus qui dépendent des champs d'origine utilisent les champs mis à jour.

  Par exemple, dans la version précédente du parseur, le champ de journal category est mappé au champ UDM security_result.description. Dans l'analyseur de pare-feu Palo Alto Networks actuel, le champ de journal category est mappé au champ UDM security_result.category_details. Si vous migrez vers l'analyseur de pare-feu Palo Alto Networks actuel et que vous utilisez le champ category dans vos règles, vous devez modifier les règles pour utiliser le champ UDM security_result.category_details de l'analyseur actuel.

Configurer syslog et le redirecteur Google Security Operations

Pour configurer syslog et le transmetteur Google SecOps, procédez comme suit :

1. Pour surveiller les journaux CSV, configurez le profil du serveur syslog. Pour en savoir plus, consultez Configurer le profil du serveur syslog. Lorsque vous configurez le profil du serveur syslog, spécifiez "Default" (Par défaut) comme format de journal personnalisé.
2. Pour surveiller les journaux CEF, configurez le pare-feu Palo Alto Networks afin qu'il les transfère. Pour en savoir plus, téléchargez le guide d'intégration CEF de PAN-OS au format PDF et consultez la section "Configuration du NGFW Palo Alto Networks pour générer des événements CEF".
3. Pour surveiller les journaux LEEF, configurez le profil du serveur syslog. Pour en savoir plus, consultez Transfert de journaux personnalisés au format LEEF.

4. Configurez le redirecteur Google SecOps pour envoyer les journaux à Google Security Operations. Pour en savoir plus, consultez Installer et configurer le transmetteur sur Linux. Voici un exemple de configuration d'un transmetteur Google SecOps :

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

Configurer le transfert syslog sur le pare-feu PAN

Créer un profil de serveur syslog

1. Connectez-vous à la console de gestion du pare-feu Palo Alto Networks.
2. Accédez à Appareil > Profils de serveur > Syslog.
3. Cliquez sur Ajouter pour créer un profil de serveur.
4. Fournissez les informations de configuration suivantes :
   • Nom : saisissez un nom descriptif (par exemple, Google SecOps BindPlane).
   • Emplacement : sélectionnez le système virtuel (vsys) ou Partagé où ce profil sera disponible.
5. Cliquez sur Serveurs > Ajouter pour configurer le serveur Syslog.
6. Fournissez les informations de configuration du serveur suivantes :
   • Name (Nom) : saisissez un nom descriptif pour le serveur (par exemple, BindPlane Agent).
   • Serveur Syslog : saisissez l'adresse IP de l'agent BindPlane.
   • Transport : sélectionnez UDP ou TCP, selon la configuration de votre agent BindPlane (UDP est la valeur par défaut).
   • Port : saisissez le numéro de port de l'agent BindPlane (par exemple, 514).
   • Format : sélectionnez BSD (par défaut) ou IETF, selon vos besoins.
   • Installation : sélectionnez LOG_USER (par défaut) ou une autre installation si nécessaire.
7. Cliquez sur OK pour enregistrer le profil du serveur Syslog.

Facultatif : Configurer un format de journal personnalisé pour CEF ou LEEF

Si vous avez besoin de journaux CEF (Common Event Format) ou LEEF (Log Event Extended Format) au lieu de journaux CSV :

1. Dans le profil du serveur Syslog, sélectionnez l'onglet Format de journal personnalisé.
2. Configurez le format de journal personnalisé pour chaque type de journal (configuration, système, menace, trafic, URL, données, WildFire, tunnel, authentification, User-ID, correspondance HIP).
3. Pour configurer le format CEF, consultez le Guide de configuration CEF de Palo Alto Networks.
4. Cliquez sur OK pour enregistrer la configuration.

Créer un profil de transfert de journaux

1. Accédez à Objets > Transfert de journaux.
2. Cliquez sur Ajouter pour créer un profil de transfert de journaux.
3. Fournissez les informations de configuration suivantes :
   • Nom : saisissez un nom de profil (par exemple, Google SecOps Forwarding). Si vous souhaitez que le pare-feu attribue automatiquement ce profil aux nouvelles règles et zones de sécurité, nommez-le default.
4. Pour chaque type de journal que vous souhaitez transférer (trafic, menace, envoi WildFire, filtrage d'URL, filtrage de données, tunnel, authentification), configurez les éléments suivants :
   • Cliquez sur Ajouter dans la section du type de journal concerné.
   • Syslog : sélectionnez le profil de serveur syslog que vous avez créé (par exemple, Google SecOps BindPlane).
   • Gravité du journal : sélectionnez les niveaux de gravité à transférer (par exemple, Tous).
5. Cliquez sur OK pour enregistrer le profil de transfert des journaux.

Appliquer un profil de transfert de journaux aux règles de sécurité

1. Accédez à Règles > Sécurité.
2. Sélectionnez les règles de sécurité pour lesquelles vous souhaitez activer le transfert de journaux.
3. Cliquez sur la règle pour la modifier.
4. Accédez à l'onglet Actions.
5. Dans le menu Transfert de journaux, sélectionnez le profil de transfert de journaux que vous avez créé (par exemple, Google SecOps Forwarding).
6. Cliquez sur OK pour enregistrer la configuration de la stratégie de sécurité.

Configurer les paramètres de journaux pour les journaux système

1. Accédez à Appareil > Paramètres du journal.
2. Pour chaque type de journal (système, configuration, User-ID, HIP Match, Global Protect, IP-Tag, SCTP) et chaque niveau de gravité, sélectionnez le profil de serveur Syslog que vous avez créé.
3. Cliquez sur OK pour enregistrer les paramètres de journal.

Valider les modifications

1. Cliquez sur Commit (Valider) en haut de l'interface Web du pare-feu.
2. Attendez que le commit se termine correctement.
3. Vérifiez que les journaux sont envoyés à l'agent Bindplane en consultant la console Google SecOps pour les journaux de pare-feu Palo Alto Networks entrants.

Transférer des journaux vers Google SecOps à l'aide de l'agent Bindplane

1. Installez et configurez une machine virtuelle Linux.
2. Installez et configurez l'agent Bindplane sur Linux pour transférer les journaux vers Google SecOps. Pour savoir comment installer et configurer l'agent Bindplane, consultez les instructions d'installation et de configuration de l'agent Bindplane.

Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google SecOps.

Formats de journaux acceptés

L'analyseur de pare-feu Palo Alto Networks est compatible avec les journaux aux formats LEEF,CEF et CSV.

Exemples de journaux acceptés

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

Référence du mappage de champs : champs de journaux vers champs UDM

Cette section explique comment l'analyseur mappe les champs de journaux de pare-feu Palo Alto Networks aux champs d'événements UDM Google SecOps pour chaque type de journal. La clé de libellé Google SecOps fait référence au nom de la clé mappée au champ UDM Labels.key.

Par exemple, dans le cas du champ "Virtual System", le nom du champ est "cs3" au format CEF et "VirtualSystem" au format LEEF. Le champ UDM "about.labels.key" contient la valeur "vsys", et le champ UDM "about.labels.value" contient la valeur de ce champ. Certains noms de champs CEF ou LEEF ne correspondent pas aux noms de champs CSV. Dans ce cas, si vous ajoutez votre propre nom de variable dans le format de journal personnalisé du profil syslog, l'analyseur ne le mappe pas au champ UDM.

Pour obtenir des informations sur le mappage de chaque type de journal, consultez les sections suivantes :

• Système
• Config
• Menace/Incendie
• Trafic
• ID utilisateur
• Correspondance HIP
• Tag IP
• Déchiffrement
• Tunnel
• Authentification
• URL
• Données
• GlobalProtect
• Corrélation
• GTP
• SCTP
• Audit

Système

Le tableau suivant répertorie les champs de journaux du type de journal système et les champs UDM correspondants.

Config

Le tableau suivant liste les champs de journaux du type de journal de configuration et les champs UDM correspondants.

Menace/WildFire

Le tableau suivant répertorie les champs de journaux du type de journal "Threat/WildFire" et les champs UDM correspondants.

Trafic

Le tableau suivant répertorie les champs de journal du type de journal de trafic et leurs champs UDM correspondants.

User-ID

Le tableau suivant liste les champs de journaux du type de journal "user-id" et les champs UDM correspondants.

Correspondance HIP

Le tableau suivant répertorie les champs de journaux du type de journal "Correspondance HIP" et les champs UDM correspondants.

Tag d'adresse IP

Le tableau suivant répertorie les champs de journaux du type de journal "Tag d'adresse IP" et les champs UDM correspondants.

Déchiffrement

Le tableau suivant répertorie les champs de journaux du type de journal de déchiffrement et les champs UDM correspondants.

Tunnel

Le tableau suivant répertorie les champs de journaux du type de journal de tunnel et les champs UDM correspondants.

Authentification

Le tableau suivant répertorie les champs de journal du type de journal d'authentification et les champs UDM correspondants.

URL

Le tableau suivant répertorie les champs de journal du type de journal "URL" et les champs UDM correspondants.

Données

Le tableau suivant liste les champs de journaux du type de journal de données et les champs UDM correspondants.

GlobalProtect

Le tableau suivant répertorie les champs de journaux du type de journal GlobalProtect et les champs UDM correspondants.

Corrélation

Le tableau suivant répertorie les champs de journaux du type de journal "Corrélation" et les champs UDM correspondants.

GTP

Le tableau suivant répertorie les champs de journaux du type de journal GTP et les champs UDM correspondants.

SCTP

Audit

Référence de mappage des champs : types de journaux et types d'événements UDM

Le tableau suivant liste les types de journaux de pare-feu Palo Alto Networks et leurs types d'événements UDM correspondants.

Type de journal	Type d'événement UDM
Trafic	NETWORK_CONNECTION
Menace	NETWORK_CONNECTION
Filtrage des URL	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Les journaux d'envoi WildFire sont un sous-type du type de journal "Menace" et utilisent le même format syslog.
Filtrage des données	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Config	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED La valeur du champ "Command (cmd)" détermine le mappage du type d'événement UDM. Si la valeur du champ "cmd" est "add" ou "clone", SETTING_CREATION est défini. Si la valeur du champ "cmd" est "delete", SETTING_DELETION est défini. Si la valeur du champ "cmd" est "edit", "move", "rename", "set" ou "commit", SETTING_MODIFICATION est défini. Si la valeur du champ "cmd" ne contient aucune valeur, SETTING_UNCATEGORIZED est défini.
Système	Si la valeur du sous-type est "dhcp", NETWORK_DHCP est défini. Si la valeur du sous-type est "auth", USER_LOGIN est défini. Si la valeur de la description est "logged in" (connecté), USER_LOGIN est défini. Si la valeur de la description est "logged out", USER_LOGOUT est défini. Pour les autres valeurs du sous-type, GENERIC_EVENT est défini.
HIP Match	NETWORK_CONNECTION
Balise IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Si la valeur du sous-type est "login", USER_LOGIN est défini. Si la valeur du sous-type est "logout", USER_LOGOUT est défini. Si le sous-type ne contient aucune valeur, USER_UNCATEGORIZED est défini.
Déchiffrement	NETWORK_CONNECTION
Authentification	GENERIC_EVENT
SCTP	NETWORK_CONNECTION
Audit	GENERIC_EVENT

Delta de mappage UDM

Référence du delta de mappage UDM : pare-feu Palo Alto Networks

Le tableau suivant liste le delta entre l'ancien mappage UDM de Palo Alto Networks Firewall et le nouveau mappage UDM de Palo Alto Networks Firewall.

Service de journalisation Strata Firewall de Palo Alto Networks

Présentation

Le service de journalisation Strata de Palo Alto Networks® fournit un stockage et une agrégation centralisés des journaux basés dans le cloud pour vos pare-feu sur site, virtuels (cloud privé et cloud public), pour Prisma Access et pour les services fournis dans le cloud tels que Cortex XDR. Le service de journalisation Strata est sécurisé, résilient et tolérant aux pannes. Il garantit que vos données de journalisation sont à jour et disponibles lorsque vous en avez besoin. Elle fournit une infrastructure de journalisation évolutive qui vous évite de planifier et de déployer des collecteurs de journaux pour répondre à vos besoins de conservation des journaux. Si vous disposez déjà de collecteurs de journaux sur site, le nouveau service de journalisation Strata peut compléter votre configuration existante. Vous pouvez augmenter la capacité opérationnelle de votre infrastructure de collecte de journaux existante à l'aide du service de journalisation Strata basé dans le cloud à mesure que votre activité se développe, ou pour répondre aux besoins de capacité de nouveaux sites.Avec ce service, Palo Alto Networks s'occupe de la maintenance et de la surveillance continues de l'infrastructure de journalisation afin que vous puissiez vous concentrer sur votre activité.

• Vérifiez les formats de journaux et les versions de PAN-OS compatibles avec l'analyseur Strata Logging Service. Le tableau suivant répertorie les formats de journaux et les versions PAN-OS correspondantes compatibles avec l'analyseur du service de journalisation Strata :

  Format du journal	Version de PAN-OS
  JSON	12.1

• Vérifiez les types de journaux de pare-feu Palo Alto Networks compatibles avec l'analyseur Google SecOps. L'analyseur Google SecOps est compatible avec les types de journaux de pare-feu Palo Alto Networks suivants :

  • Trafic
  • Menace
  • Inspection de tunnels
  • Système
  • Correspondance HIP
  • IP-Tag
  • User-ID
  • Déchiffrement
  • Authentification
  • Filtrage des URL
  • GlobalProtect

Déploiement du service de journalisation Strata

• Assurez-vous que le produit de pare-feu Palo Alto Networks est correctement déployé et configuré. Pour obtenir des instructions de configuration détaillées, consultez la documentation PAN-OS, puis suivez ce document de déploiement avant d'envoyer les journaux au service de journalisation Strata Conditions préalables au déploiement du service de journalisation Strata.

Commencez à envoyer des journaux au service de journalisation Strata :

Pour commencer à envoyer des journaux au service de journalisation Strata, procédez comme suit :

1. Installer une version PAN-OS® compatible
2. Activez le service de journalisation Strata. L'activation du service de journalisation Strata inclut le provisionnement du certificat dont les pare-feu ont besoin pour se connecter de manière sécurisée au service de journalisation Strata.
3. Intégrer des pare-feu au service de journalisation Strata avec ou sans Panorama

Pour connaître la procédure d'intégration détaillée, consultez la documentation.

Transférer les journaux du service de journalisation Strata

Pour répondre à vos besoins à long terme en matière de stockage, de reporting, de surveillance, ou de conformité et de légalité, vous pouvez configurer le service Strata Logging pour qu'il transfère les journaux vers un serveur HTTPS ou vers les SIEM suivants :

1. Exabeam
2. Google Chronicle
3. Microsoft Sentinel
4. Splunk HTTP Event Collector (HEC)

Utilisez la méthode de transfert HTTPS pour transférer les journaux à l'aide du service de journalisation Strata. Pour en savoir plus, consultez cette documentation.

Formats de journaux acceptés

L'analyseur de pare-feu Palo Alto Networks Strata Logging Service est compatible avec les journaux au format JSON.

Exemples de journaux acceptés

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

Référence du mappage de champs : champs de journaux vers champs UDM

Cette section explique comment l'analyseur mappe les champs de journaux de pare-feu Palo Alto Networks Strata Logging Service aux champs d'événements Google UDM pour chaque type de journal.

Pour obtenir des informations sur le mappage de chaque type de journal, consultez les sections suivantes :

• Système
• Menace
• Trafic
• ID utilisateur
• Correspondance HIP
• Tag IP
• Déchiffrement
• Tunnel
• Authentification
• URL
• GlobalProtect
• SCTP
• Audit

Système

Le tableau suivant répertorie les champs de journaux du type de journal "Système" et les champs UDM correspondants.

Menace

Le tableau suivant répertorie les champs de journaux du type de journal "Menace" et les champs UDM correspondants.

Trafic

Le tableau suivant répertorie les champs de journal du type de journal "Trafic" et leurs champs UDM correspondants.

User-ID

Le tableau suivant liste les champs de journaux du type de journal "User-ID" et les champs UDM correspondants.

Correspondance HIP

Le tableau suivant répertorie les champs de journaux du type de journal "Correspondance HIP" et les champs UDM correspondants.

Tag d'adresse IP

Le tableau suivant répertorie les champs de journaux du type de journal "Tag d'adresse IP" et les champs UDM correspondants.

Déchiffrement

Le tableau suivant répertorie les champs de journaux du type de journal "Déchiffrement" et les champs UDM correspondants.

Tunnel

Le tableau suivant répertorie les champs de journaux du type de journal "Tunnel" et les champs UDM correspondants.

Authentification

Le tableau suivant répertorie les champs de journaux du type de journal "Authentification" et les champs UDM correspondants.

URL

Le tableau suivant répertorie les champs de journal du type de journal "URL" et les champs UDM correspondants.

GlobalProtect

Le tableau suivant répertorie les champs de journaux du type de journal GlobalProtect et les champs UDM correspondants.

SCTP

Le tableau suivant répertorie les champs de journaux du type de journal SCTP et les champs UDM correspondants.

Audit

Le tableau suivant répertorie les champs de journaux du type de journal d'audit et les champs UDM correspondants.

Référence de mappage des champs : types de journaux et types d'événements UDM

Le tableau suivant répertorie les types de journaux de pare-feu Palo Alto Networks Strata Logging Service et leurs types d'événements UDM correspondants.

Type de journal	Type d'événement UDM
Trafic	NETWORK_CONNECTION
Menace	NETWORK_CONNECTION
Filtrage des URL	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
Système	Si la valeur du sous-type est "dhcp", NETWORK_DHCP est défini. Si la valeur du sous-type est "auth", USER_LOGIN est défini. Si la valeur de la description est "logged in" (connecté), USER_LOGIN est défini. Si la valeur de la description est "logged out", USER_LOGOUT est défini. Pour les autres valeurs du sous-type, GENERIC_EVENT est défini.
HIP Match	NETWORK_CONNECTION
Balise IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Si la valeur du sous-type est "login", USER_LOGIN est défini. Si la valeur du sous-type est "logout", USER_LOGOUT est défini. Si le sous-type ne contient aucune valeur, USER_UNCATEGORIZED est défini.
Déchiffrement	NETWORK_CONNECTION
Authentification	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS Si la valeur du sous-type est "auth", USER_LOGIN est défini. Si la valeur du sous-type est "logout", USER_LOGOUT est défini. Si le sous-type ne contient aucune valeur, USER_RESOURCE_ACCESS est défini.
SCTP	NETWORK_CONNECTION
Audit	NETWORK_CONNECTION

Étapes suivantes

• Ingestion de données dans Google SecOps

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.