Coletar registros de firewall da Palo Alto Networks

Firewall da Palo Alto Networks

Visão geral

Neste documento, descrevemos como configurar o syslog e um encaminhador do Google SecOps para coletar registros de firewall da Palo Alto Networks. Este documento também explica como os campos de registro do firewall da Palo Alto Networks são mapeados para os campos do modelo de dados unificado (UDM) do Google SecOps. Para uma visão geral sobre a ingestão de dados do Google SecOps, consulte Ingestão de dados no Google SecOps. Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão PAN_FIREWALL.

Antes de começar

• Verifique se o produto de firewall da Palo Alto Networks está implantado e configurado corretamente. Para instruções detalhadas de configuração, consulte a documentação do PAN-OS.

• Para entender os componentes implantados para coletar registros do firewall da Palo Alto Networks, revise a arquitetura de implantação. Cada implantação de cliente pode ser diferente dessa representação e ser mais complexa. O diagrama a seguir mostra como configurar o syslog em um firewall da Palo Alto Networks e instalar um encaminhador do Google SecOps em um servidor Linux para encaminhar dados de registro ao Google SecOps. O analisador aceita registros gravados nos seguintes formatos de dados: valores separados por vírgula (CSV), formato de evento comum (CEF) e formato estendido de evento de registro (LEEF).

  

• Verifique os formatos de registro e as versões do PAN-OS compatíveis com o analisador do Google SecOps. A tabela a seguir lista os formatos de registro e as versões correspondentes do PAN-OS compatíveis com o analisador do Google SecOps:

  Formato do registro	Versão do PAN-OS
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• Verifique os tipos de registros de firewall da Palo Alto Networks compatíveis com o analisador do Google SecOps. O analisador do Google SecOps é compatível com os seguintes tipos de registros de firewall da Palo Alto Networks:

  • Tráfego
  • Ameaça
  • Envios do WildFire
  • Inspeção de túnel
  • Configuração
  • Sistema
  • Correspondência de HIP
  • IP-Tag
  • User-ID
  • Descriptografia
  • Autenticação
  • Filtragem de URL
  • Filtragem de dados
  • GlobalProtect
  • Correlação
  • GTP
  • SCTP
  • Auditoria

  Para mais informações sobre os tipos de registros de firewall da Palo Alto Networks, consulte Tipos de registros do PAN-OS.

• Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

• Antes de usar o analisador de firewall da Palo Alto Networks, revise as mudanças nos mapeamentos de campos entre o analisador anterior e o atual analisador de firewall da Palo Alto Networks. Como parte da migração, verifique se as regras, pesquisas, painéis ou outros processos que dependem dos campos originais estão usando os campos atualizados.

  Por exemplo, na versão anterior do analisador, o campo de registro category é mapeado para o campo security_result.description da UDM. No analisador atual do firewall da Palo Alto Networks, o campo de registro category é mapeado para o campo security_result.category_details do UDM. Se você migrar para o analisador de firewall atual da Palo Alto Networks e usar o campo category nas suas regras, será necessário modificar as regras para usar o campo security_result.category_details da UDM do analisador atual.

Configurar o syslog e o encaminhador do Google Security Operations

Para configurar o syslog e o encaminhador do Google SecOps, siga estas etapas:

1. Para monitorar registros CSV, configure o perfil do servidor syslog. Para mais informações, consulte Configurar o perfil do servidor syslog. Ao configurar o perfil do servidor syslog, especifique "Padrão" como o formato de registro personalizado.
2. Para monitorar registros CEF, configure o firewall da Palo Alto Networks para encaminhar esses registros. Para mais informações, faça o download do PDF do guia de integração do CEF do PAN-OS e consulte a seção "Configuração do NGFW da Palo Alto Networks para gerar eventos CEF".
3. Para monitorar registros LEEF, configure o perfil do servidor syslog. Para mais informações, consulte Encaminhamento de registros personalizados no formato LEEF.

4. Configure o encaminhador do Google SecOps para enviar registros ao Google Security Operations. Para mais informações, consulte Instalar e configurar o encaminhador no Linux. Confira a seguir um exemplo de configuração de encaminhador do Google SecOps:

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

Configurar o encaminhamento de syslog no firewall da PAN

Criar um perfil de servidor syslog

1. Faça login no Console de gerenciamento de firewall da Palo Alto Networks.
2. Acesse Dispositivo > Perfis de servidor > Syslog.
3. Clique em Adicionar para criar um perfil de servidor.
4. Informe os seguintes detalhes de configuração:
   • Nome: insira um nome descritivo, por exemplo, Google SecOps BindPlane.
   • Local: selecione o sistema virtual (vsys) ou Compartilhado em que esse perfil vai estar disponível.
5. Clique em Servidores > Adicionar para configurar o servidor syslog.
6. Forneça os seguintes detalhes de configuração do servidor:
   • Nome: insira um nome descritivo para o servidor. Por exemplo, BindPlane Agent.
   • Servidor Syslog: insira o endereço IP do agente do BindPlane.
   • Transporte: selecione UDP ou TCP, dependendo da configuração do agente do BindPlane (UDP é o padrão).
   • Porta: insira o número da porta do agente do BindPlane (por exemplo, 514).
   • Formato: selecione BSD (padrão) ou IETF, dependendo dos seus requisitos.
   • Facilidade: selecione LOG_USER (padrão) ou outra facilidade, conforme necessário.
7. Clique em OK para salvar o perfil do servidor syslog.

Opcional: configurar um formato de registro personalizado para CEF ou LEEF

Se você precisar de registros CEF (Common Event Format) ou LEEF (Log Event Extended Format) em vez de CSV:

1. No perfil do servidor Syslog, selecione a guia Formato de registro personalizado.
2. Configure o formato de registro personalizado para cada tipo de registro (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID, HIP Match).
3. Para configurar o formato CEF, consulte o Guia de configuração do CEF da Palo Alto Networks (em inglês).
4. Clique em OK para salvar a configuração.

Criar um perfil de encaminhamento de registros

1. Acesse Objetos > Encaminhamento de registros.
2. Clique em Adicionar para criar um perfil de encaminhamento de registros.
3. Informe os seguintes detalhes de configuração:
   • Nome: insira um nome de perfil (por exemplo, Google SecOps Forwarding). Se você quiser que o firewall atribua automaticamente esse perfil a novas regras e zonas de segurança, nomeie-o como default.
4. Para cada tipo de registro que você quer encaminhar (tráfego, ameaça, envio do WildFire, filtragem de URL, filtragem de dados, túnel, autenticação), configure o seguinte:
   • Clique em Adicionar na seção do tipo de registro relevante.
   • Syslog: selecione o perfil do servidor syslog que você criou (por exemplo, Google SecOps BindPlane).
   • Gravidade do registro: selecione os níveis de gravidade a serem encaminhados (por exemplo, Todos).
5. Clique em OK para salvar o perfil de encaminhamento de registros.

Aplicar perfil de encaminhamento de registros a políticas de segurança

1. Acesse Políticas > Segurança.
2. Selecione as regras de segurança para as quais você quer ativar o encaminhamento de registros.
3. Clique na regra para editá-la.
4. Acesse a guia Ações.
5. No menu Encaminhamento de registros, selecione o perfil de encaminhamento de registros que você criou (por exemplo, Google SecOps Forwarding).
6. Clique em OK para salvar a configuração da política de segurança.

Configurar as configurações de registro para registros do sistema

1. Acesse Dispositivo > Configurações de registro.
2. Para cada tipo de registro (System, Configuration, User-ID, HIP Match, Global Protect, IP-Tag, SCTP) e nível de gravidade, selecione o perfil do servidor syslog que você criou.
3. Clique em OK para salvar as configurações de registro.

Confirmar as mudanças

1. Clique em Commit na parte de cima da interface da Web do firewall.
2. Aguarde a conclusão do commit.
3. Verifique se os registros estão sendo enviados ao agente do Bindplane conferindo no console do Google SecOps os registros de firewall da Palo Alto Networks recebidos.

Encaminhar registros para o Google SecOps usando o agente do Bindplane

1. Instale e configure uma máquina virtual Linux.
2. Instale e configure o agente do Bindplane no Linux para encaminhar registros ao Google SecOps. Para mais informações sobre como instalar e configurar o agente do Bindplane, consulte as instruções de instalação e configuração do agente do Bindplane.

Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google SecOps.

Formatos de registro aceitos

O analisador de firewall da Palo Alto Networks é compatível com registros nos formatos LEEF,CEF e CSV.

Registros de amostra compatíveis

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

Referência de mapeamento de campos: campos de registros para campos da UDM

Esta seção explica como o analisador mapeia os campos de registro do firewall da Palo Alto Networks para os campos de eventos do UDM do Google SecOps em cada tipo de registro. A chave de rótulo do Google SecOps se refere ao nome da chave mapeada para o campo UDM "Labels.key".

Por exemplo, no caso do campo "Sistema virtual", o nome do campo é "cs3" no formato CEF e "VirtualSystem" no formato LEEF. O campo da UDM "about.labels.key" contém o valor "vsys", e o campo "about.labels.value" contém o valor desse campo. Alguns nomes de campos CEF ou LEEF não têm um nome correspondente aos nomes de campos CSV. Nesses casos, se você adicionar seu próprio nome de variável no formato de registro personalizado no perfil do syslog, o analisador não vai mapeá-lo para o campo do UDM.

Consulte as seções a seguir para ver a referência de mapeamento de cada tipo de registro:

• Sistema
• Config
• Ameaça/incêndio florestal
• Tráfego
• ID do usuário
• Correspondência de HIP
• Tag de IP
• Descriptografia
• Tunnel
• Authentication
• URL
• Dados
• GlobalProtect
• Correlação
• GTP
• SCTP
• Auditoria

Sistema

A tabela a seguir lista os campos de registro do tipo de registro do sistema e os campos correspondentes da UDM.

Configuração

A tabela a seguir lista os campos de registro do tipo de registro de configuração e os campos da UDM correspondentes.

Ameaça/WildFire

A tabela a seguir lista os campos de registro do tipo de registro de ameaça/WildFire e os campos correspondentes da UDM.

Tráfego

A tabela a seguir lista os campos de registro do tipo de registro de tráfego e os campos correspondentes da UDM.

User-ID

A tabela a seguir lista os campos de registro do tipo de registro user-id e os campos correspondentes da UDM.

Correspondência de HIP

A tabela a seguir lista os campos de registro do tipo de registro de correspondência do HIP e os campos correspondentes da UDM.

Tag de IP

A tabela a seguir lista os campos de registro do tipo de registro de tag de IP e os campos correspondentes da UDM.

Descriptografia

A tabela a seguir lista os campos de registro do tipo de registro de descriptografia e os campos correspondentes da UDM.

Túnel

A tabela a seguir lista os campos de registro do tipo de registro de túnel e os campos correspondentes da UDM.

Autenticação

A tabela a seguir lista os campos de registro do tipo de registro de autenticação e os campos correspondentes da UDM.

URL

A tabela a seguir lista os campos de registro do tipo de registro de URL e os campos correspondentes da UDM.

Dados

A tabela a seguir lista os campos de registro do tipo de registro de dados e os campos correspondentes da UDM.

GlobalProtect

A tabela a seguir lista os campos de registro do tipo GlobalProtect e os campos correspondentes da UDM.

Correlação

A tabela a seguir lista os campos de registro do tipo "Correlação" e os campos correspondentes da UDM.

GTP

A tabela a seguir lista os campos de registro do tipo gtp e os campos correspondentes da UDM.

SCTP

Auditoria

Referência de mapeamento de campos: tipos de registros para tipo de evento do UDM

A tabela a seguir lista os tipos de registros de firewall da Palo Alto Networks e os tipos de eventos correspondentes da UDM.

Tipo de registro	Tipo de evento do UDM
Tráfego	NETWORK_CONNECTION
Ameaça	NETWORK_CONNECTION
Filtragem de URL	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Os registros de envios do WildFire são um subtipo do tipo de registro de ameaça e usam o mesmo formato syslog.
Filtragem de dados	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Configuração	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED O valor do campo "Comando (cmd)" determina o mapeamento do tipo de evento da UDM. Se o valor do campo "cmd" for "add" ou "clone", SETTING_CREATION será definido. Se o valor do campo "cmd" for "delete", SETTING_DELETION será definido. Se o valor do campo "cmd" for "edit", "move", "rename", "set" ou "commit", SETTING_MODIFICATION será definido. Se o valor do campo "cmd" não tiver nenhum valor, SETTING_UNCATEGORIZED será definido.
Sistema	Se o valor do subtipo for "dhcp", NETWORK_DHCP será definido. Se o valor do subtipo for "auth", USER_LOGIN será definido. Se o valor da descrição for "logged in", USER_LOGIN será definido. Se o valor da descrição for "logged out", USER_LOGOUT será definido. Para outros valores do subtipo, GENERIC_EVENT é definido.
Correspondência de HIP	NETWORK_CONNECTION
Tag de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Se o valor do subtipo for "login", USER_LOGIN será definido. Se o valor do subtipo for "logout", USER_LOGOUT será definido. Se o subtipo não tiver nenhum valor, USER_UNCATEGORIZED será definido.
Descriptografia	NETWORK_CONNECTION
Autenticação	GENERIC_EVENT
SCTP	NETWORK_CONNECTION
Auditoria	GENERIC_EVENT

Delta de mapeamento do UDM

Referência de delta de mapeamento do UDM: firewall da Palo Alto Networks

A tabela a seguir lista o delta entre o mapeamento da UDM antiga de Palo Alto Networks Firewall e o novo mapeamento da UDM de Palo Alto Networks Firewall.

Serviço de geração de registros do firewall Strata da Palo Alto Networks.

Visão geral

O serviço de geração de registros do Strata da Palo Alto Networks® oferece armazenamento e agregação de registros centralizados e baseados na nuvem para seus firewalls locais, virtuais (nuvem privada e pública), para o Prisma Access e para serviços fornecidos na nuvem, como o Cortex XDR.O serviço de geração de registros do Strata é seguro, resiliente e tolerante a falhas, além de garantir que seus dados de registro estejam atualizados e disponíveis quando você precisar deles. Ela oferece uma infraestrutura de geração de registros escalonável que elimina a necessidade de planejar e implantar coletores de registros para atender às suas necessidades de retenção. Se você já tiver coletores de registros locais, o novo serviço de registros do Strata poderá complementar sua configuração atual. É possível aumentar sua infraestrutura de coleta de registros atual com o serviço de geração de registros do Strata baseado na nuvem para expandir a capacidade operacional à medida que sua empresa cresce ou para atender às necessidades de capacidade de novas unidades.Com esse serviço, a Palo Alto Networks cuida da manutenção e do monitoramento contínuos da infraestrutura de geração de registros para que você possa se concentrar nos negócios.

• Verifique os formatos de registro e as versões do PAN-OS compatíveis com o analisador do Strata Logging Service. A tabela a seguir lista os formatos de registro e as versões correspondentes do PAN-OS compatíveis com o analisador do serviço de geração de registros do Strata:

  Formato do registro	Versão do PAN-OS
  JSON	12.1

• Verifique os tipos de registros de firewall da Palo Alto Networks compatíveis com o analisador do Google SecOps. O analisador do Google SecOps é compatível com os seguintes tipos de registros de firewall da Palo Alto Networks:

  • Tráfego
  • Ameaça
  • Inspeção de túnel
  • Sistema
  • Correspondência de HIP
  • IP-Tag
  • User-ID
  • Descriptografia
  • Autenticação
  • Filtragem de URL
  • GlobalProtect

Implantação do serviço de geração de registros do Strata

• Verifique se o produto de firewall da Palo Alto Networks está implantado e configurado corretamente. Para instruções de configuração detalhadas, consulte a Documentação do PAN-OS e siga este documento de implantação antes de enviar registros ao serviço de registro em strata Pré-requisitos de implantação do serviço de registro em strata.

Comece a enviar registros ao serviço de registro do Strata:

Para começar a enviar registros ao serviço de registro do Strata, siga estas etapas:

1. Instalar uma versão compatível do PAN-OS®
2. Ative o serviço de geração de registros do Strata. Isso inclui o provisionamento do certificado necessário para que os firewalls se conectem com segurança ao serviço.
3. Integrar firewalls ao serviço de geração de registros do Strata com ou sem o Panorama

Para conferir as etapas detalhadas de integração, consulte a documentação.

Encaminhar registros do serviço de registro do Strata

Para atender às suas necessidades de armazenamento, relatórios e monitoramento de longo prazo ou legais e de compliance, configure o serviço de geração de registros do Strata para encaminhar registros a um servidor HTTPS ou aos seguintes SIEMs:

1. Exabeam
2. Google Chronicle
3. Microsoft Sentinel
4. Coletor de eventos HTTP (HEC) do Splunk

Use o método de encaminhamento HTTPS para encaminhar os registros usando o serviço de geração de registros do Strata. Para informações detalhadas, consulte esta documentação.

Formatos de registro aceitos

O analisador de firewall do serviço de registro do Strata da Palo Alto Networks é compatível com registros no formato JSON.

Registros de amostra compatíveis

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

Referência de mapeamento de campos: campos de registros para campos da UDM

Nesta seção, explicamos como o analisador mapeia os campos de registro do firewall do serviço de registro em log do Palo Alto Networks Strata para os campos de evento do UDM do Google em cada tipo de registro.

Consulte as seções a seguir para ver a referência de mapeamento de cada tipo de registro:

• Sistema
• Ameaça
• Tráfego
• ID do usuário
• Correspondência de HIP
• Tag de IP
• Descriptografia
• Tunnel
• Authentication
• URL
• GlobalProtect
• SCTP
• Auditoria

Sistema

A tabela a seguir lista os campos de registro do tipo "Registro do sistema" e os campos correspondentes da UDM.

Ameaça

A tabela a seguir lista os campos de registro do tipo "Registro de ameaças" e os campos correspondentes da UDM.

Tráfego

A tabela a seguir lista os campos de registro do tipo "Tráfego" e os campos correspondentes da UDM.

User-ID

A tabela a seguir lista os campos de registro do tipo de registro User-ID e os campos correspondentes da UDM.

Correspondência de HIP

A tabela a seguir lista os campos de registro do tipo de registro de correspondência do HIP e os campos correspondentes da UDM.

Tag de IP

A tabela a seguir lista os campos de registro do tipo de registro de tag de IP e os campos correspondentes da UDM.

Descriptografia

A tabela a seguir lista os campos de registro do tipo "Decryption" e os campos correspondentes da UDM.

Túnel

A tabela a seguir lista os campos de registro do tipo "Tunnel" e os campos correspondentes da UDM.

Autenticação

A tabela a seguir lista os campos de registro do tipo "Registro de autenticação" e os campos correspondentes da UDM.

URL

A tabela a seguir lista os campos de registro do tipo de registro de URL e os campos correspondentes da UDM.

GlobalProtect

A tabela a seguir lista os campos de registro do tipo GlobalProtect e os campos correspondentes da UDM.

SCTP

A tabela a seguir lista os campos de registro do tipo de registro SCTP e os campos correspondentes da UDM.

Auditoria

A tabela a seguir lista os campos de registro do tipo "Registro de auditoria" e os campos correspondentes da UDM.

Referência de mapeamento de campos: tipos de registros para tipo de evento do UDM

A tabela a seguir lista os tipos de registro de firewall do serviço de registro do Strata da Palo Alto Networks e os tipos de evento UDM correspondentes.

Tipo de registro	Tipo de evento do UDM
Tráfego	NETWORK_CONNECTION
Ameaça	NETWORK_CONNECTION
Filtragem de URL	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
Sistema	Se o valor do subtipo for "dhcp", NETWORK_DHCP será definido. Se o valor do subtipo for "auth", USER_LOGIN será definido. Se o valor da descrição for "logged in", USER_LOGIN será definido. Se o valor da descrição for "logged out", USER_LOGOUT será definido. Para outros valores do subtipo, GENERIC_EVENT é definido.
Correspondência de HIP	NETWORK_CONNECTION
Tag de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Se o valor do subtipo for "login", USER_LOGIN será definido. Se o valor do subtipo for "logout", USER_LOGOUT será definido. Se o subtipo não tiver nenhum valor, USER_UNCATEGORIZED será definido.
Descriptografia	NETWORK_CONNECTION
Autenticação	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS Se o valor do subtipo for "auth", USER_LOGIN será definido. Se o valor do subtipo for "logout", USER_LOGOUT será definido. Se o subtipo não tiver um valor, USER_RESOURCE_ACCESS será definido.
SCTP	NETWORK_CONNECTION
Auditoria	NETWORK_CONNECTION

A seguir

• Ingestão de dados no Google SecOps

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.