Raccogliere i log del firewall Palo Alto Networks

Firewall Palo Alto Networks

Panoramica

Questo documento descrive come configurare syslog e un forwarder Google SecOps per raccogliere i log del firewall Palo Alto Networks. Questo documento spiega anche come i campi dei log del firewall Palo Alto Networks vengono mappati ai campi Unified Data Model (UDM) di Google SecOps. Per una panoramica sull'importazione dati in Google SecOps, consulta Importazione dei dati in Google SecOps. Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione PAN_FIREWALL.

Prima di iniziare

• Assicurati che il prodotto firewall Palo Alto Networks sia implementato e configurato correttamente. Per istruzioni di configurazione dettagliate, consulta la documentazione di PAN-OS.

• Per comprendere i componenti di cui è stato eseguito il deployment per raccogliere i log del firewall Palo Alto Networks, esamina l'architettura di deployment. Ogni implementazione del cliente potrebbe differire da questa rappresentazione e potrebbe essere più complessa. Il seguente diagramma mostra come configurare syslog su un firewall Palo Alto Networks e installare un forwarder Google SecOps su un server Linux per inoltrare i dati di log a Google SecOps. Il parser supporta i log scritti nei seguenti formati di dati: valori separati da virgole (CSV), Common Event Format (CEF) e Log Event Extended Format (LEEF).

  

• Verifica i formati dei log e le versioni di PAN-OS supportati dal parser Google SecOps. La tabella seguente elenca i formati dei log e le versioni di PAN-OS corrispondenti supportate dal parser Google SecOps:

  Formato log	Versione PAN-OS
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• Verifica i tipi di log del firewall Palo Alto Networks supportati dal parser Google SecOps. Il parser di Google SecOps supporta i seguenti tipi di log del firewall Palo Alto Networks:

  • Traffico
  • Minaccia
  • Invii di WildFire
  • Ispezione tunnel
  • Configurazione
  • Sistema
  • Corrispondenza HIP
  • IP-Tag
  • User-ID
  • Decriptazione
  • Autenticazione
  • Filtro degli URL
  • Filtro dei dati
  • GlobalProtect
  • Correlazione
  • GTP
  • SCTP
  • Controlla

  Per ulteriori informazioni sui tipi di log del firewall Palo Alto Networks, consulta Tipi di log PAN-OS.

• Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.

• Prima di utilizzare il parser del firewall Palo Alto Networks, esamina le modifiche apportate ai mapping dei campi tra il parser precedente e quello attuale del firewall Palo Alto Networks. Nell'ambito della migrazione, assicurati che le regole, le ricerche, i dashboard o altri processi che dipendono dai campi originali utilizzino i campi aggiornati.

  Ad esempio, nella versione precedente del parser, il campo log category è mappato al campo UDM security_result.description. Nell'attuale parser del firewall Palo Alto Networks, il campo log category è mappato al campo UDM security_result.category_details. Se esegui la migrazione all'attuale parser firewall Palo Alto Networks e utilizzi il campo category nelle regole, devi modificare le regole in modo che utilizzino il campo security_result.category_details UDM del parser attuale.

Configura syslog e il forwarder Google Security Operations

Per configurare syslog e il forwarder Google SecOps, completa i seguenti passaggi:

1. Per monitorare i log CSV, configura il profilo del server syslog. Per saperne di più, consulta Configurare il profilo del server syslog. Quando configuri il profilo del server syslog, specifica "Predefinito" come formato log personalizzato.
2. Per monitorare i log CEF, configura il firewall Palo Alto Networks per inoltrarli. Per ulteriori informazioni, scarica la guida all'integrazione CEF di PAN-OS in formato PDF e consulta la sezione "Configurazione di Palo Alto Networks NGFW per l'output di eventi CEF".
3. Per monitorare i log LEEF, configura il profilo del server syslog. Per saperne di più, consulta Invio personalizzato dei log in formato LEEF.

4. Configura il forwarder Google SecOps per inviare i log a Google Security Operations. Per ulteriori informazioni, vedi Installazione e configurazione del forwarder su Linux. Di seguito è riportato un esempio di configurazione dell'agente di inoltro Google SecOps:

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

Configura l'inoltro di syslog sul firewall PAN

Crea un profilo server syslog

1. Accedi alla console di gestione del firewall Palo Alto Networks.
2. Vai a Dispositivo > Profili server > Syslog.
3. Fai clic su Aggiungi per creare un nuovo profilo server.
4. Fornisci i seguenti dettagli di configurazione:
   • Nome: inserisci un nome descrittivo (ad esempio, Google SecOps BindPlane).
   • Posizione: seleziona il sistema virtuale (vsys) o Condiviso in cui sarà disponibile questo profilo.
5. Fai clic su Server > Aggiungi per configurare il server syslog.
6. Fornisci i seguenti dettagli di configurazione del server:
   • Nome: inserisci un nome descrittivo per il server (ad esempio, BindPlane Agent).
   • Server Syslog: inserisci l'indirizzo IP dell'agente BindPlane.
   • Trasporto: seleziona UDP o TCP, a seconda della configurazione di BindPlane Agent (UDP è l'impostazione predefinita).
   • Porta: inserisci il numero di porta dell'agente BindPlane (ad esempio, 514).
   • Formato: seleziona BSD (impostazione predefinita) o IETF, a seconda dei tuoi requisiti.
   • Struttura: seleziona LOG_USER (impostazione predefinita) o un'altra struttura, se necessario.
7. Fai clic su OK per salvare il profilo del server syslog.

(Facoltativo) Configura il formato log personalizzato per CEF o LEEF

Se hai bisogno di log CEF (Common Event Format) o LEEF (Log Event Extended Format) anziché CSV:

1. Nel profilo del server Syslog, seleziona la scheda Formato log personalizzato.
2. Configura il formato log personalizzato per ogni tipo di log (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID, HIP Match).
3. Per la configurazione del formato CEF, consulta la Guida alla configurazione CEF di Palo Alto Networks.
4. Fai clic su Ok per salvare la configurazione.

Creare un profilo di inoltro dei log

1. Vai a Oggetti > Inoltro log.
2. Fai clic su Aggiungi per creare un nuovo profilo di inoltro dei log.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome: inserisci un nome del profilo (ad esempio Google SecOps Forwarding). Se vuoi che il firewall assegni automaticamente questo profilo a nuove regole e zone di sicurezza, chiamalo default.
4. Per ogni tipo di log che vuoi inoltrare (traffico, minaccia, invio WildFire, filtro URL, filtro dati, tunnel, autenticazione), configura quanto segue:
   • Fai clic su Aggiungi nella sezione del tipo di log corrispondente.
   • Syslog: seleziona il profilo del server Syslog che hai creato (ad esempio, Google SecOps BindPlane).
   • Gravità log: seleziona i livelli di gravità da inoltrare (ad esempio Tutti).
5. Fai clic su Ok per salvare il profilo di inoltro dei log.

Applica il profilo di inoltro dei log ai criteri di sicurezza

1. Vai a Norme > Sicurezza.
2. Seleziona le regole di sicurezza per le quali vuoi attivare l'inoltro dei log.
3. Fai clic sulla regola per modificarla.
4. Vai alla scheda Azioni.
5. Nel menu Log Forwarding, seleziona il profilo di inoltro dei log che hai creato (ad esempio, Google SecOps Forwarding).
6. Fai clic su Ok per salvare la configurazione della norma di sicurezza.

Configura le impostazioni dei log per i log di sistema

1. Vai a Dispositivo > Impostazioni log.
2. Per ogni tipo di log (Sistema, Configurazione, User-ID, Corrispondenza HIP, Global Protect, IP-Tag, SCTP) e livello di gravità, seleziona il profilo del server syslog che hai creato.
3. Fai clic su Ok per salvare le impostazioni dei log.

Esegui il commit delle modifiche

1. Fai clic su Commit nella parte superiore dell'interfaccia web del firewall.
2. Attendi il completamento del commit.
3. Verifica che i log vengano inviati all'agente Bindplane controllando la console Google SecOps per i log del firewall Palo Alto Networks in entrata.

Inoltrare i log a Google SecOps utilizzando l'agente Bindplane

1. Installa e configura una macchina virtuale Linux.
2. Installa e configura l'agente Bindplane su Linux per inoltrare i log a Google SecOps. Per saperne di più su come installare e configurare l'agente Bindplane, consulta le istruzioni di installazione e configurazione dell'agente Bindplane.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google SecOps.

Formati di log supportati

Il parser firewall Palo Alto Networks supporta i log in formato LEEF,CEF e CSV.

Log di esempio supportati

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

Riferimento per la mappatura dei campi: campi dei log e campi UDM

Questa sezione spiega come il parser mappa i campi dei log del firewall Palo Alto Networks ai campi degli eventi UDM di Google SecOps per ogni tipo di log. La chiave dell'etichetta Google SecOps si riferisce al nome della chiave mappata al campo UDM Labels.key.

Ad esempio, nel caso del campo "Virtual System", il nome del campo è "cs3" nel formato CEF e "VirtualSystem" nel formato LEEF. Il campo UDM "about.labels.key" contiene il valore "vsys" e il campo UDM "about.labels.value" contiene il valore di questo campo. Alcuni nomi di campi CEF o LEEF non hanno un nome corrispondente ai nomi dei campi CSV. In questi casi, se aggiungi il tuo nome variabile nel formato log personalizzato nel profilo syslog, il parser non lo mappa al campo UDM.

Per il riferimento alla mappatura di ogni tipo di log, consulta le seguenti sezioni:

• Sistema
• Configurazione
• Minaccia/incendio boschivo
• Traffico
• ID utente
• HIP match
• Tag IP
• Decrittografia
• Tunnel
• Autenticazione
• URL
• Dati
• GlobalProtect
• Correlazione
• GTP
• SCTP
• Controlli

Sistema

La tabella seguente elenca i campi di log del tipo di log di sistema e i campi UDM corrispondenti.

Configurazione

La tabella seguente elenca i campi di log del tipo di log di configurazione e i relativi campi UDM.

Threat/WildFire

La tabella seguente elenca i campi di log del tipo di log Threat/WildFire e i relativi campi UDM.

Traffico

La tabella seguente elenca i campi di log del tipo di log del traffico e i campi UDM corrispondenti.

User-ID

La tabella seguente elenca i campi del log del tipo di log user-id e i relativi campi UDM.

Corrispondenza HIP

La seguente tabella elenca i campi di log del tipo di log di corrispondenza HIP e i relativi campi UDM.

Tag IP

La tabella seguente elenca i campi di log del tipo di log tag IP e i campi UDM corrispondenti.

Decriptazione

La tabella seguente elenca i campi di log del tipo di log di decriptazione e i relativi campi UDM.

Tunnel

La tabella seguente elenca i campi di log del tipo di log del tunnel e i relativi campi UDM.

Autenticazione

La tabella seguente elenca i campi di log del tipo di log di autenticazione e i relativi campi UDM.

URL

La seguente tabella elenca i campi di log del tipo di log URL e i relativi campi UDM.

Dati

La tabella seguente elenca i campi di log del tipo di log dei dati e i campi UDM corrispondenti.

GlobalProtect

La tabella seguente elenca i campi di log del tipo di log GlobalProtect e i relativi campi UDM.

Correlazione

La tabella seguente elenca i campi di log del tipo di log di correlazione e i campi UDM corrispondenti.

GTP

La tabella seguente elenca i campi di log del tipo di log gtp e i relativi campi UDM.

SCTP

Controlla

Riferimento per la mappatura dei campi: tipi di log e tipo di evento UDM

La tabella seguente elenca i tipi di log del firewall Palo Alto Networks e i relativi tipi di eventi UDM.

Tipo di log	Tipo di evento UDM
Traffico	NETWORK_CONNECTION
Minaccia	NETWORK_CONNECTION
Filtro degli URL	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION I log di invio di WildFire sono un sottotipo del tipo di log delle minacce e utilizzano lo stesso formato syslog.
Filtro dei dati	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Configurazione	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED Il valore del campo "Command (cmd)" determina la mappatura del tipo di evento UDM. Se il valore del campo cmd è add o clone, viene impostato SETTING_CREATION. Se il valore del campo cmd è delete, viene impostato SETTING_DELETION. Se il valore del campo cmd è edit, move, rename, set o commit, SETTING_MODIFICATION è impostato. Se il valore del campo cmd non contiene valori, viene impostato SETTING_UNCATEGORIZED.
Sistema	Se il valore del sottotipo è "dhcp", viene impostato NETWORK_DHCP. Se il valore del sottotipo è "auth", viene impostato USER_LOGIN. Se il valore della descrizione è "logged in", viene impostato USER_LOGIN. Se il valore della descrizione è "logged out", viene impostato USER_LOGOUT. Per gli altri valori del sottotipo, viene impostato GENERIC_EVENT.
HIP Match	NETWORK_CONNECTION
Tag IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Se il valore del sottotipo è "login", viene impostato USER_LOGIN. Se il valore del sottotipo è "logout", viene impostato USER_LOGOUT. Se il sottotipo non contiene alcun valore, viene impostato USER_UNCATEGORIZED.
Decriptazione	NETWORK_CONNECTION
Autenticazione	GENERIC_EVENT
SCTP	NETWORK_CONNECTION
Controlla	GENERIC_EVENT

Delta di mappatura UDM

Riferimento delta mappatura UDM: firewall Palo Alto Networks

La tabella seguente elenca la differenza tra la vecchia mappatura UDM di Palo Alto Networks Firewall e la nuova mappatura UDM di Palo Alto Networks Firewall.

Servizio di logging di Palo Alto Networks Firewall Strata

Panoramica

Palo Alto Networks® Strata Logging Service fornisce archiviazione e aggregazione centralizzate dei log basate su cloud per i firewall on-premise, virtuali (cloud privato e cloud pubblico), per Prisma Access e per i servizi forniti dal cloud come Cortex XDR.Strata Logging Service è sicuro, resiliente e tollerante agli errori e garantisce che i dati di logging siano aggiornati e disponibili quando ne hai bisogno. Fornisce un'infrastruttura di logging scalabile che elimina la necessità di pianificare e implementare raccoglitori di log per soddisfare le tue esigenze di conservazione dei log. Se hai già raccoglitori di log on-premise, il nuovo servizio di logging Strata può integrare la configurazione esistente. Puoi ampliare l'infrastruttura di raccolta dei log esistente con il servizio Strata Logging basato sul cloud per espandere la capacità operativa man mano che la tua attività cresce o per soddisfare le esigenze di capacità per le nuove sedi.Con questo servizio, Palo Alto Networks si occupa della manutenzione e del monitoraggio continui dell'infrastruttura di logging, in modo che tu possa concentrarti sulla tua attività.

• Verifica i formati dei log e le versioni di PAN-OS supportati dal parser del servizio di logging Strata. La tabella seguente elenca i formati dei log e le versioni di PAN-OS corrispondenti supportate dal parser del servizio di logging Strata:

  Formato log	Versione PAN-OS
  JSON	12.1

• Verifica i tipi di log del firewall Palo Alto Networks supportati dal parser Google SecOps. Il parser di Google SecOps supporta i seguenti tipi di log del firewall Palo Alto Networks:

  • Traffico
  • Minaccia
  • Ispezione tunnel
  • Sistema
  • Corrispondenza HIP
  • IP-Tag
  • User-ID
  • Decriptazione
  • Autenticazione
  • Filtro degli URL
  • GlobalProtect

Deployment del servizio di logging di Strata

• Assicurati che il prodotto firewall Palo Alto Networks sia implementato e configurato correttamente. Per istruzioni di configurazione dettagliate, consulta la documentazione PAN-OS, quindi segui questo documento di deployment prima di inviare i log al servizio di logging Strata Prerequisiti per il deployment del servizio di logging Strata

Inizia a inviare log al servizio di logging Strata:

Per iniziare a inviare i log al servizio di logging Strata, segui questi passaggi:

1. Installare una versione supportata di PAN-OS®
2. Attiva il servizio di logging Strata: l'attivazione del servizio di logging Strata include il provisioning del certificato necessario ai firewall per connettersi in modo sicuro al servizio di logging Strata.
3. Esegui l'onboarding dei firewall in Strata Logging Service con o senza Panorama

Per la procedura di onboarding dettagliata, consulta la documentazione.

Inoltra i log dal servizio Strata Logging

Per soddisfare le esigenze di archiviazione, generazione di report e monitoraggio a lungo termine o legali e di conformità, puoi configurare Strata Logging Service per inoltrare i log a un server HTTPS o ai seguenti SIEM:

1. Exabeam
2. Google Chronicle
3. Microsoft Sentinel
4. Raccolta eventi HTTP (HEC) Splunk

Utilizza il metodo di inoltro HTTPS per inoltrare i log utilizzando il servizio di logging Strata. Per informazioni dettagliate, consulta questa documentazione.

Formati di log supportati

Il parser firewall del servizio di logging Strata di Palo Alto Networks supporta i log in formato JSON.

Log di esempio supportati

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

Riferimento per la mappatura dei campi: campi dei log e campi UDM

Questa sezione spiega come il parser mappa i campi dei log del firewall di Palo Alto Networks Strata Logging Service ai campi degli eventi UDM di Google per ogni tipo di log.

Per il riferimento alla mappatura di ogni tipo di log, consulta le seguenti sezioni:

• Sistema
• Minaccia
• Traffico
• ID utente
• HIP match
• Tag IP
• Decrittografia
• Tunnel
• Autenticazione
• URL
• GlobalProtect
• SCTP
• Controlli

Sistema

La tabella seguente elenca i campi di log del tipo di log di sistema e i campi UDM corrispondenti.

Minaccia

La tabella seguente elenca i campi di log del tipo di log Minaccia e i relativi campi UDM.

Traffico

La tabella seguente elenca i campi di log del tipo di log sul traffico e i campi UDM corrispondenti.

User-ID

La tabella seguente elenca i campi di log del tipo di log User-ID e i relativi campi UDM.

Corrispondenza HIP

La seguente tabella elenca i campi di log del tipo di log di corrispondenza HIP e i relativi campi UDM.

Tag IP

La tabella seguente elenca i campi di log del tipo di log tag IP e i campi UDM corrispondenti.

Decriptazione

La tabella seguente elenca i campi di log del tipo di log Decryption e i relativi campi UDM.

Tunnel

La tabella seguente elenca i campi di log del tipo di log Tunnel e i relativi campi UDM.

Autenticazione

La tabella seguente elenca i campi di log del tipo di log di autenticazione e i relativi campi UDM corrispondenti.

URL

La seguente tabella elenca i campi di log del tipo di log URL e i relativi campi UDM.

GlobalProtect

La tabella seguente elenca i campi di log del tipo di log GlobalProtect e i relativi campi UDM.

SCTP

La tabella seguente elenca i campi di log del tipo di log SCTP e i relativi campi UDM.

Controlla

La tabella seguente elenca i campi di log del tipo Audit log e i relativi campi UDM corrispondenti.

Riferimento per la mappatura dei campi: tipi di log e tipo di evento UDM

La tabella seguente elenca i tipi di log firewall del servizio di logging Strata di Palo Alto Networks e i tipi di eventi UDM corrispondenti.

Tipo di log	Tipo di evento UDM
Traffico	NETWORK_CONNECTION
Minaccia	NETWORK_CONNECTION
Filtro degli URL	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
Sistema	Se il valore del sottotipo è "dhcp", viene impostato NETWORK_DHCP. Se il valore del sottotipo è "auth", viene impostato USER_LOGIN. Se il valore della descrizione è "logged in", viene impostato USER_LOGIN. Se il valore della descrizione è "logged out", viene impostato USER_LOGOUT. Per gli altri valori del sottotipo, viene impostato GENERIC_EVENT.
HIP Match	NETWORK_CONNECTION
Tag IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Se il valore del sottotipo è "login", viene impostato USER_LOGIN. Se il valore del sottotipo è "logout", viene impostato USER_LOGOUT. Se il sottotipo non contiene alcun valore, viene impostato USER_UNCATEGORIZED.
Decriptazione	NETWORK_CONNECTION
Autenticazione	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS Se il valore del sottotipo è "auth", viene impostato USER_LOGIN. Se il valore del sottotipo è "logout", viene impostato USER_LOGOUT. Se il sottotipo non contiene alcun valore, viene impostato USER_RESOURCE_ACCESS.
SCTP	NETWORK_CONNECTION
Controlla	NETWORK_CONNECTION

Passaggi successivi

• Importazione dei dati in Google SecOps

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.