Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Palo Alto Networks Traps

Supportato in:

Google secops SIEM

Questo documento spiega come raccogliere i log di Palo Alto Networks Traps in Google Security Operations utilizzando Bindplane. Il parser gestisce i log in formato CSV e coppia chiave-valore, trasformandoli in UDM. Utilizza l'analisi grok e CSV per estrarre i campi, esegue la logica condizionale in base a messaggi di log o valori di campo specifici per eseguire il mapping ai campi UDM e gestisce vari tipi di eventi come aggiornamenti di stato, scansioni di rete e creazioni di processi.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
Se esegui l'applicazione dietro un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di avere accesso con privilegi a Cortex XDR.

Recuperare il file di autenticazione dell'acquisizione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'acquisizione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.

Installare l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configurare l'agente Bindplane per acquisire Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come indicato di seguito:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: PAN_EDR
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recuperare il file di autenticazione dell'acquisizione di Google SecOps.

Riavviare l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire questo comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Palo Alto Networks Traps

Accedi alla console Cortex XDR ESM.
Seleziona Impostazioni > ESM > Syslog.
Seleziona la casella di controllo Abilita syslog.
Fornisci i seguenti dettagli di configurazione:
- Server Syslog: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta Syslog: inserisci il numero di porta configurato in Bindplane, ad esempio 514.
- Protocollo Syslog: seleziona CEF.
- Imposta Timeout keep-alive su 0.
- Protocollo di comunicazione: seleziona UDP.
Nella sezione Eventi di sicurezza, seleziona le seguenti caselle di controllo:
- Evento di prevenzione
- Evento di notifica
- Evento post-rilevamento
Fai clic su Verifica connettività > Salva.

Tabella di mapping UDM

Campo log	Mapping UDM	Funzione logica
`agentId`	`event.idm.read_only_udm.additional.fields.value.string_value`	Il valore di `agentId` dal log non elaborato viene mappato al campo `string_value` all'interno di una struttura nidificata in `additional.fields`. La `key` per questo campo è impostata su `Agent ID`.
`agentIp`	`event.idm.read_only_udm.target.ip`	Il valore di `agentIp` dal log non elaborato viene mappato al campo `target.ip`.
`cat`	`event.idm.read_only_udm.security_result.rule_name`	Il valore di `cat` dal log non elaborato viene mappato al campo `security_result.rule_name`.
`class`	`event.idm.read_only_udm.security_result.category_details`	Utilizzato insieme a `subClass` per popolare `security_result.category_details` con il formato `class: subClass`.
`cs1`	`event.idm.read_only_udm.principal.application`, `event.idm.read_only_udm.principal.user.email_addresses`	Se `cs1Label` è `email` e `cs1` è un indirizzo email valido, viene mappato a `principal.user.email_addresses`. Se `cs1Label` è `Initiated by`, viene mappato a `principal.application`.
`cs2`	`event.idm.read_only_udm.principal.process.command_line`, `event.idm.read_only_udm.security_result.description`	Se `cs2Label` è `subtype`, viene mappato a `security_result.description`. Se `cs2Label` è `Initiator CMD`, viene mappato a `principal.process.command_line`.
`cs3`	`event.idm.read_only_udm.security_result.action_details`	Se `cs3Label` è `result`, viene mappato a `security_result.action_details`.
`customerId`	`event.idm.read_only_udm.additional.fields.value.string_value`	Il valore di `customerId` dal log non elaborato viene mappato al campo `string_value` all'interno di una struttura nidificata in `additional.fields`. La `key` per questo campo è impostata su `Customer ID`.
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp.seconds`	Analizzato e convertito in un timestamp, quindi mappato a `metadata.event_timestamp.seconds`.
`desc`	`event.idm.read_only_udm.metadata.description`	Il valore di `desc` dal log non elaborato viene mappato al campo `metadata.description`.
`deviceName`	`event.idm.read_only_udm.target.hostname`	Il valore di `deviceName` dal log non elaborato viene mappato al campo `target.hostname`.
`email_receiver`	`event.idm.read_only_udm.network.email.to`	Estratto dal campo `msg` se contiene un indirizzo email e mappato a `network.email.to`.
`endpoint_desc`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	Derivato da `isEndpoint`: `Yes, host is an endpoint.` se `isEndpoint` è 1, `No, host is not an endpoint` se `isEndpoint` è 0. La `key` è impostata su `Is Endpoint`.
`eventType`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.event_type`	Il valore di `eventType` dal log non elaborato viene mappato al campo `metadata.product_event_type`. Utilizzato anche per derivare `metadata.event_type` in base al suo valore (ad es. `Management Audit Logs` genera `EMAIL_TRANSACTION`, `XDR Analytics BIOC` o `Behavioral Threat` genera `SCAN_NETWORK`).
`facility`	`event.idm.read_only_udm.additional.fields.value.string_value`	Il valore di `facility` dal log non elaborato viene mappato al campo `string_value` all'interno di una struttura nidificata in `additional.fields`. La `key` per questo campo è impostata su `Facility`.
`fileHash`	`event.idm.read_only_udm.principal.process.file.sha256`	Il valore di `fileHash` dal log non elaborato, convertito in minuscolo, viene mappato al campo `principal.process.file.sha256`.
`filePath`	`event.idm.read_only_udm.principal.process.file.full_path`	Il valore di `filePath` dal log non elaborato viene mappato al campo `principal.process.file.full_path`.
`friendlyName`	`event.idm.read_only_udm.metadata.description`	Il valore di `friendlyName` dal log non elaborato viene mappato al campo `metadata.description`.
`interm_ip`	`event.idm.read_only_udm.intermediary.ip`	Il valore di `interm_ip` dal log non elaborato viene mappato al campo `intermediary.ip`.
`isEndpoint`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	Utilizzato per derivare `target.resource.attribute.labels.value`.
`isVdi`	`event.idm.read_only_udm.target.resource.resource_type`	Se `isVdi` è 1, `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`.
`msg`	`event.idm.read_only_udm.security_result.summary`	Il valore di `msg` dal log non elaborato viene mappato al campo `security_result.summary`. Utilizzato anche per estrarre `email_receiver`.
`msgTextEn`	`event.idm.read_only_udm.security_result.description`	Il valore di `msgTextEn` dal log non elaborato viene mappato al campo `security_result.description`.
`osType`	`event.idm.read_only_udm.target.platform`, `event.idm.read_only_udm.target.resource.attribute.labels.value`	Se `osType` è 1, `target.platform` è impostato su `WINDOWS`. Se `osType` è 2, `target.platform` è impostato su `MAC`. Se `osType` è 4, `target.platform` è impostato su `LINUX`. Se `osType` è 3, il suo valore viene mappato a `target.resource.attribute.labels.value` con la `key` `OS`.
`osVersion`	`event.idm.read_only_udm.target.platform_version`	Il valore di `osVersion` dal log non elaborato viene mappato al campo `target.platform_version`.
`product_version`	`event.idm.read_only_udm.metadata.product_version`	Il valore di `product_version` dal log non elaborato viene mappato al campo `metadata.product_version`.
`proto`	`event.idm.read_only_udm.network.ip_protocol`	Se `proto` è `udp`, `network.ip_protocol` è impostato su `UDP`.
`recordType`	`event.idm.read_only_udm.additional.fields.value.string_value`	Il valore di `recordType` dal log non elaborato viene mappato al campo `string_value` all'interno di una struttura nidificata in `additional.fields`. La `key` per questo campo è impostata su `Record Type`.
`regionId`	`event.idm.read_only_udm.principal.location.country_or_region`	Se `regionId` è 10, `principal.location.country_or_region` è impostato su `Americas (N. Virginia)`. Se `regionId` è 70, `principal.location.country_or_region` è impostato su `EMEA (Frankfurt)`.
`request`	`event.idm.read_only_udm.target.url`	Il valore di `request` dal log non elaborato viene mappato al campo `target.url`.
`sec_category_details`	`event.idm.read_only_udm.security_result.category_details`	Il valore di `sec_category_details` dal log non elaborato viene mappato al campo `security_result.category_details`.
`sec_desc`	`event.idm.read_only_udm.security_result.description`	Il valore di `sec_desc` dal log non elaborato viene mappato al campo `security_result.description`.
`serverHost`	`event.idm.read_only_udm.principal.hostname`	Il valore di `serverHost` dal log non elaborato viene mappato al campo `principal.hostname`.
`severity`	`event.idm.read_only_udm.security_result.severity`	Mappato a `security_result.severity` con la seguente logica: 2 -> CRITICAL, 3 -> ERROR, 4 -> MEDIUM, 5 -> LOW, 6 -> INFORMATIONAL.
`severity_val`	`event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.security_result.severity_details`	Se `severity_val` è 0, `security_result.severity_details` è impostato su `UNKNOWN_SEVERITY`. In caso contrario, viene mappato a `security_result.severity` con la seguente logica: 6 -> LOW, 8 -> MEDIUM, 9 -> HIGH.
`shost`	`event.idm.read_only_udm.principal.hostname`	Il valore di `shost` dal log non elaborato viene mappato al campo `principal.hostname`.
`src_ip`	`event.idm.read_only_udm.principal.ip`	Il valore di `src_ip` dal log non elaborato viene mappato al campo `principal.ip`.
`subClass`	`event.idm.read_only_udm.security_result.category_details`	Utilizzato insieme a `class` per popolare `security_result.category_details`.
`suser`	`event.idm.read_only_udm.principal.user.user_display_name`	Il valore di `suser` dal log non elaborato, con parentesi, barre rovesciate e virgolette singole rimosse, viene mappato al campo `principal.user.user_display_name`.
`targetprocesscmd`	`event.idm.read_only_udm.target.process.command_line`	Il valore di `targetprocesscmd` dal log non elaborato viene mappato al campo `target.process.command_line`.
`targetprocessname`	`event.idm.read_only_udm.target.application`	Il valore di `targetprocessname` dal log non elaborato viene mappato al campo `target.application`.
`targetprocesssha256`	`event.idm.read_only_udm.target.process.file.sha256`	Il valore di `targetprocesssha256` dal log non elaborato, convertito in minuscolo, viene mappato al campo `target.process.file.sha256`.
`tenantname`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	Il valore di `tenantname` dal log non elaborato viene mappato al campo `value` all'interno di una struttura nidificata in `target.resource.attribute.labels`. La `key` per questo campo è impostata su `Tenant name`.
	`event.idm.read_only_udm.metadata.event_type`	Impostato su `STATUS_UPDATE` per impostazione predefinita. Modificato in `EMAIL_TRANSACTION` se `eventType` è `Management Audit Logs`. Modificato in `SCAN_NETWORK` se `eventType` è `XDR Analytics BIOC` o `Behavioral Threat` oppure se `desc` è `Behavioral Threat`. Modificato in `SCAN_PROCESS` se `desc` è `Suspicious Process Creation`. Impostato su `Palo Alto Networks`. Impostato su `Cortex XDR`. Impostato su `PAN_EDR`. Impostato su `NETWORK_SUSPICIOUS` se `eventType` è `XDR Analytics BIOC` o `Behavioral Threat` oppure se `desc` è `Behavioral Threat`.

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.