Palo Alto Networks 방화벽 로그 수집

이 문서에서는 두 가지 기본 배포 방법을 사용하여 Palo Alto Networks의 로그를 수집하도록 Google SecOps를 구성하는 방법을 설명합니다.

아래에서 아키텍처에 해당하는 섹션을 선택하세요.

• Palo Alto Networks Firewall
  • 설명: PAN-OS 방화벽에서 직접 로그를 수집합니다.
  • 수집 방법: Syslog를 사용하여 로그가 Google SecOps 포워더 또는 Bindplane 에이전트로 전송됩니다. Google SecOps 전달자가 지원 종료에 도달하고 올해 말에 지원 중단되므로 로그 전달에는 Bindplane 에이전트를 사용하세요.
  • 지원되는 형식: CSV, CEF, LEEF
• Palo Alto Networks Firewall Strata 로깅 서비스
  • 설명: 클라우드 기반 Strata Logging Service에서 로그를 수집합니다.
  • 수집 방법: HTTPS 웹훅을 사용하여 로그가 Google SecOps로 직접 전달됩니다. 이 메서드에는 로컬 포워더가 필요하지 않습니다.
  • 지원되는 형식: JSON

Palo Alto Networks Firewall

개요

이 문서에서는 Palo Alto Networks 방화벽 로그를 수집하도록 syslog 및 Google SecOps 전달자를 구성하는 방법을 설명합니다. 또한 Palo Alto Networks 방화벽 로그 필드가 Google SecOps 통합 데이터 모델 (UDM) 필드에 매핑되는 방식을 설명합니다. Google SecOps 데이터 수집에 대한 개요는 Google SecOps에 데이터 수집을 참고하세요. 수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 PAN_FIREWALL 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

• Palo Alto Networks 방화벽 제품이 올바르게 배포되고 구성되었는지 확인합니다. 자세한 설정 안내는 PAN-OS 문서를 참고하세요.

• Palo Alto Networks 방화벽 로그를 수집하기 위해 배포된 구성요소를 이해하려면 배포 아키텍처를 검토합니다. 각 고객 배포는 이 표현과 다를 수 있고 더 복잡할 수 있습니다. 다음 다이어그램에서는 Palo Alto Networks 방화벽에서 syslog를 구성하고 Linux 서버에 Google SecOps 전달자를 설치하여 로그 데이터를 Google SecOps로 전달하는 방법을 보여줍니다. 파서는 쉼표로 구분된 값(CSV), 공통 이벤트 형식(CEF), 로그 이벤트 확장 형식(LEEF)으로 작성된 로그를 지원합니다.

  

• Google SecOps 파서에서 지원하는 로그 형식과 PAN-OS 버전을 확인합니다. 다음 표에는 Google SecOps 파서에서 지원하는 로그 형식과 해당 PAN-OS 버전이 나와 있습니다.

  로그 형식	PAN-OS 버전
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• Google SecOps 파서에서 지원하는 Palo Alto Networks 방화벽 로그 유형을 확인합니다. Google SecOps 파서는 다음과 같은 Palo Alto Networks 방화벽 로그 유형을 지원합니다.

  • 트래픽
  • 위협
  • WildFire 제출
  • 터널 검사
  • 구성
  • 시스템
  • HIP 일치
  • IP-Tag
  • User-ID
  • 복호화
  • 인증
  • URL 필터링
  • 데이터 필터링
  • GlobalProtect
  • 상관관계
  • GTP
  • SCTP
  • 감사

  Palo Alto Networks 방화벽 로그 유형에 대한 자세한 내용은 PAN-OS 로그 유형을 참조합니다.

• 배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.

• Palo Alto Networks 방화벽 파서를 사용하기 전에 이전 파서와 현재 Palo Alto Networks 방화벽 파서 간의 필드 매핑 변경사항을 검토합니다. 마이그레이션 과정에서 원본 필드를 사용하는 규칙, 검색, 대시보드 또는 기타 프로세스가 업데이트된 필드를 사용하는지 확인합니다.

  예를 들어 이전 파서 버전에서 category 로그 필드는 security_result.description UDM 필드에 매핑됩니다. 현재 Palo Alto Networks 방화벽 파서에서 category 로그 필드는 security_result.category_details UDM 필드에 매핑됩니다. 현재 Palo Alto Networks 방화벽 파서로 마이그레이션하고 규칙에서 category 필드를 사용하는 경우 현재 파서의 security_result.category_details UDM 필드를 사용하도록 규칙을 수정해야 합니다.

syslog 및 Google Security Operations 전달자 구성

syslog 및 Google SecOps 전달자를 구성하려면 다음 단계를 완료하세요.

1. CSV 로그를 모니터링하려면 syslog 서버 프로필을 구성합니다. 자세한 내용은 시스템로그 서버 프로필 구성을 참조합니다. syslog 서버 프로필을 구성할 때 커스텀 로그 형식을 '기본값'으로 지정합니다.
2. CEF 로그를 모니터링하려면 Palo Alto Networks 방화벽을 CEF 로그를 전달하도록 구성합니다. 자세한 내용은 PAN-OS CEF 통합 가이드 PDF를 다운로드하고 'CEF 이벤트 출력을 위한 Palo Alto Networks NGFW 구성' 섹션을 참조하세요.
3. LEEF 로그를 모니터링하려면 시스템로그 서버 프로필을 구성합니다. 자세한 내용은 LEEF 형식의 커스텀 로그 전달을 참조하세요.

4. Google SecOps 전달자를 구성하여 로그를 Google Security Operations에 전송합니다. 자세한 내용은 Linux에서 전달자 설치 및 구성을 참조하세요. 다음은 Google SecOps 전달자 구성 예시입니다.

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

PAN 방화벽에서 syslog 전달 구성

syslog 서버 프로필 만들기

1. Palo Alto Networks 방화벽 관리 콘솔에 로그인합니다.
2. Device(기기) > Server Profiles(서버 프로필) > Syslog(시스템 로그)로 이동합니다.
3. 추가를 클릭하여 새 서버 프로필을 만듭니다.
4. 다음 구성 세부정보를 제공합니다.
   • 이름: 설명이 포함된 이름을 입력합니다 (예: Google SecOps BindPlane).
   • 위치: 이 프로필을 사용할 수 있는 가상 시스템 (vsys) 또는 공유를 선택합니다.
5. 서버 > 추가를 클릭하여 시스템 로그 서버를 구성합니다.
6. 다음 서버 구성 세부정보를 제공합니다.
   • 이름: 서버의 설명이 포함된 이름을 입력합니다 (예: BindPlane Agent).
   • Syslog 서버: BindPlane 에이전트 IP 주소를 입력합니다.
   • 전송: BindPlane 에이전트 구성에 따라 UDP 또는 TCP를 선택합니다 (UDP가 기본값).
   • 포트: BindPlane 에이전트 포트 번호를 입력합니다 (예: 514).
   • 형식: 요구사항에 따라 BSD (기본값) 또는 IETF를 선택합니다.
   • 기능: 필요에 따라 LOG_USER (기본값) 또는 다른 기능을 선택합니다.
7. 확인을 클릭하여 시스템 로그 서버 프로필을 저장합니다.

선택사항: CEF 또는 LEEF의 맞춤 로그 형식 구성

CSV 대신 CEF (Common Event Format) 또는 LEEF (Log Event Extended Format) 로그가 필요한 경우 다음 단계를 따르세요.

1. Syslog 서버 프로필에서 맞춤 로그 형식 탭을 선택합니다.
2. 각 로그 유형 (구성, 시스템, 위협, 트래픽, URL, 데이터, WildFire, 터널, 인증, 사용자 ID, HIP 일치)의 맞춤 로그 형식을 구성합니다.
3. CEF 형식 구성은 Palo Alto Networks CEF 구성 가이드를 참고하세요.
4. 확인을 클릭하여 구성을 저장합니다.

로그 전달 프로필 만들기

1. 객체 > 로그 전달로 이동합니다.
2. 추가를 클릭하여 새 로그 전달 프로필을 만듭니다.
3. 다음 구성 세부정보를 제공합니다.
   • 이름: 프로필 이름을 입력합니다 (예: Google SecOps Forwarding). 방화벽에서 새 보안 규칙 및 영역에 이 프로필을 자동으로 할당하려면 default로 이름을 지정합니다.
4. 전달할 각 로그 유형 (트래픽, 위협, WildFire 제출, URL 필터링, 데이터 필터링, 터널, 인증)에 대해 다음을 구성합니다.
   • 해당 로그 유형 섹션에서 추가를 클릭합니다.
   • Syslog: 만든 시스템로그 서버 프로필을 선택합니다 (예: Google SecOps BindPlane).
   • 로그 심각도: 전달할 심각도 수준을 선택합니다 (예: 모두).
5. 확인을 클릭하여 로그 전달 프로필을 저장합니다.

보안 정책에 로그 전달 프로필 적용

1. 정책 > 보안으로 이동합니다.
2. 로그 전달을 사용 설정할 보안 규칙을 선택합니다.
3. 규칙을 클릭하여 수정합니다.
4. 작업 탭으로 이동합니다.
5. 로그 전달 메뉴에서 만든 로그 전달 프로필 (예: Google SecOps Forwarding)을 선택합니다.
6. 확인을 클릭하여 보안 정책 구성을 저장합니다.

시스템 로그의 로그 설정 구성

1. 기기 > 로그 설정으로 이동합니다.
2. 각 로그 유형 (시스템, 구성, 사용자 ID, HIP 일치, Global Protect, IP 태그, SCTP) 및 심각도 수준에 대해 생성한 시스템 로그 서버 프로필을 선택합니다.
3. 확인을 클릭하여 로그 설정을 저장합니다.

변경사항 커밋

1. 방화벽 웹 인터페이스 상단에서 커밋을 클릭합니다.
2. 커밋이 완료될 때까지 기다립니다.
3. Google SecOps 콘솔에서 수신되는 Palo Alto Networks 방화벽 로그를 확인하여 로그가 Bindplane 에이전트로 전송되고 있는지 확인합니다.

Bindplane 에이전트를 사용하여 Google SecOps로 로그 전달

1. Linux 가상 머신을 설치하고 설정합니다.
2. 로그를 Google SecOps로 전달하도록 Linux에 Bindplane 에이전트를 설치하고 구성합니다. Bindplane 에이전트를 설치하고 구성하는 방법에 대한 자세한 내용은 Bindplane 에이전트 설치 및 구성 안내를 참고하세요.

피드를 만들 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.

지원되는 로그 형식

Palo Alto Networks 방화벽 파서는 LEEF, CEF, CSV 형식의 로그를 지원합니다.

지원되는 샘플 로그

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

필드 매핑 참조: 로그 필드에서 UDM 필드로

이 섹션에서는 파서가 Palo Alto Networks 방화벽 로그 필드를 각 로그 유형의 Google SecOps UDM 이벤트 필드에 매핑하는 방법을 설명합니다. Google SecOps 라벨 키는 Labels.key UDM 필드에 매핑된 키의 이름을 나타냅니다.

예를 들어 'Virtual System' 필드의 경우 필드 이름은 CEF 형식의 'cs3'이고 LEEF 형식의 'VirtualSystem'입니다. UDM 필드 'about.labels.key'에는 'vsys' 값이 포함되고 UDM 필드 'about.labels.value'에는 해당 필드의 값이 포함됩니다. 일부 CEF 또는 LEEF 필드 이름에는 CSV 필드 이름에 해당하는 이름이 없습니다. 이러한 경우 syslog 프로필의 맞춤 로그 형식에 자체 변수 이름을 추가하면 파서가 UDM 필드에 매핑하지 않습니다.

각 로그 유형에 대한 매핑 참조는 다음 섹션을 참조하세요.

• 시스템
• 구성
• 위협/wildfire
• 트래픽
• 사용자 ID
• HIP 일치
• IP 태그
• 복호화
• 터널
• 인증
• URL
• 데이터
• GlobalProtect
• 상관관계
• GTP
• SCTP
• 감사

시스템

다음 표에는 시스템 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

구성

다음 표에는 구성 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

위협/WildFire

다음 표에는 위협/WildFire 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

트래픽

다음 표에는 트래픽 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

User-ID

다음 표에는 user-id 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

HIP 일치

다음 표에는 HIP 일치 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

IP 태그

다음 표에는 IP 태그 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

복호화

다음 표에는 복호화 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

터널

다음 표에는 터널 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

인증

다음 표에는 인증 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

URL

다음 표에는 URL 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

데이터

다음 표에는 데이터 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

GlobalProtect

다음 표에는 GlobalProtect 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

상관관계

다음 표에는 상관관계 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

GTP

다음 표에는 GTP 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

SCTP

감사

필드 매핑 참조: 로그 유형과 UDM 이벤트 유형

다음 표에는 Palo Alto Networks 방화벽 로그 유형과 해당 UDM 이벤트 유형이 나와 있습니다.

로그 유형	UDM 이벤트 유형
트래픽	NETWORK_CONNECTION
위협	NETWORK_CONNECTION
URL 필터링	NETWORK_CONNECTION
WildFire	SCAN_UNCATEGORIZED WildFire 제출 로그는 위협 로그 유형의 하위 유형이며 동일한 syslog 형식을 사용합니다.
데이터 필터링	NETWORK_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS 하위유형 값이 'auth'이면 USER_LOGIN이 설정됩니다. 하위유형 값이 'logout'이면 USER_LOGOUT이 설정됩니다. 하위유형에 값이 없으면 USER_RESOURCE_ACCESS가 설정됩니다.
터널	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
구성	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED '명령어(cmd)' 필드의 값에 따라 UDM 이벤트 유형 매핑이 결정됩니다. cmd 필드 값이 추가 또는 복제이면 SETTING_CREATION이 설정됩니다. cmd 필드 값이 삭제이면 SETTING_DELETION이 설정됩니다. cmd 필드 값이 수정, 이동, 이름 변경, 설정, 커밋이면 SETTING_MODIFICATION이 설정됩니다. cmd 필드 값에 값이 없으면 SETTING_UNCATEGORIZED가 설정됩니다.
시스템	하위유형 값이 'dhcp'이면 NETWORK_DHCP가 설정됩니다. 하위유형 값이 'auth'이면 USER_LOGIN이 설정됩니다. 설명 값이 'logged in'이면 USER_LOGIN이 설정됩니다. 설명 값이 'logged out'이면 USER_LOGOUT이 설정됩니다. 다른 하위유형 값에는 GENERIC_EVENT가 설정됩니다.
HIP 일치	NETWORK_CONNECTION
IP 태그	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED 하위유형 값이 'login'이면 USER_LOGIN이 설정됩니다. 하위유형 값이 'logout'이면 USER_LOGOUT이 설정됩니다. 하위유형에 값이 없으면 USER_UNCATEGORIZED가 설정됩니다.
복호화	NETWORK_CONNECTION
인증	STATUS_UNCATEGORIZED
SCTP	NETWORK_CONNECTION
감사	GENERIC_EVENT

Palo Alto Networks Firewall Strata 로깅 서비스

개요

Palo Alto Networks Strata Logging Service는 온프레미스, 가상 (프라이빗 클라우드 및 퍼블릭 클라우드) 방화벽, Prisma Access, Cortex XDR과 같은 클라우드 제공 서비스에 클라우드 기반의 중앙 집중식 로그 스토리지 및 집계를 제공합니다.Strata Logging Service는 안전하고 복원력이 있으며 내결함성이 있어 필요한 경우 로깅 데이터를 최신 상태로 유지하고 사용할 수 있도록 합니다. 로그 보관 요구사항을 충족하기 위해 로그 수집기를 계획하고 배포할 필요가 없는 확장 가능한 로깅 인프라를 제공합니다. 온프레미스 로그 수집기가 이미 있는 경우 새로운 Strata Logging Service가 기존 설정을 보완할 수 있습니다. 클라우드 기반 Strata Logging Service를 사용하여 기존 로그 수집 인프라를 보강하여 비즈니스 성장에 따라 운영 용량을 확장하거나 새 위치의 용량 요구사항을 충족할 수 있습니다.이 서비스를 사용하면 Palo Alto Networks에서 로깅 인프라의 지속적인 유지보수 및 모니터링을 처리하므로 비즈니스에 집중할 수 있습니다.

• Strata Logging Service 파서에서 지원하는 로그 형식과 PAN-OS 버전을 확인합니다. 다음 표에는 Strata Logging Service 파서에서 지원하는 로그 형식과 해당 PAN-OS 버전이 나와 있습니다.

  로그 형식	PAN-OS 버전
  JSON	12.1

• Google SecOps 파서에서 지원하는 Palo Alto Networks 방화벽 로그 유형을 확인합니다. Google SecOps 파서는 다음과 같은 Palo Alto Networks 방화벽 로그 유형을 지원합니다.

  • 트래픽
  • 위협
  • 터널 검사
  • 시스템
  • HIP 일치
  • IP-Tag
  • User-ID
  • 복호화
  • 인증
  • URL 필터링
  • GlobalProtect

Strata 로깅 서비스 배포

• Palo Alto Networks 방화벽 제품이 올바르게 배포되고 구성되었는지 확인합니다. 자세한 설정 안내는 PAN-OS 문서를 참고한 후 이 배포 문서를 따라 Strata Logging Service로 로그를 전송하기 전에 Strata Logging Service 배포 필수사항을 확인하세요.

Strata Logging Service로 로그 전송 시작:

Strata Logging Service로 로그 전송을 시작하려면 다음 단계를 따르세요.

1. 지원되는 PAN-OS 버전 설치
2. Strata Logging Service 활성화: Strata Logging Service 활성화에는 방화벽이 Strata Logging Service에 안전하게 연결하는 데 필요한 인증서 프로비저닝이 포함됩니다.
3. Panorama 유무에 관계없이 방화벽을 Strata Logging Service에 온보딩

자세한 온보딩 단계는 문서를 참고하세요.

Strata Logging Service에서 로그 전달

장기 저장, 보고 및 모니터링, 법적 및 규정 준수 요구사항을 충족하기 위해 Strata Logging Service가 로그를 Google Chronicle로 전달하도록 구성할 수 있습니다.

HTTPS 전달 방법을 사용하여 Strata Logging Service를 통해 로그를 전달합니다. 자세한 내용은 이 문서를 참고하세요.

지원되는 로그 형식

Palo Alto Networks Strata Logging Service 방화벽 파서는 JSON 형식의 로그를 지원합니다.

지원되는 샘플 로그

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

필드 매핑 참조: 로그 필드에서 UDM 필드로

이 섹션에서는 파서가 Palo Alto Networks Strata Logging Service 방화벽 로그 필드를 각 로그 유형의 Google UDM 이벤트 필드에 매핑하는 방법을 설명합니다.

각 로그 유형에 대한 매핑 참조는 다음 섹션을 참조하세요.

• 시스템
• 위협
• 트래픽
• 사용자 ID
• HIP 일치
• IP 태그
• 복호화
• 터널
• 인증
• URL
• GlobalProtect
• SCTP
• 감사

시스템

다음 표에는 시스템 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

위협

다음 표에는 위협 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

트래픽

다음 표에는 트래픽 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

User-ID

다음 표에는 User-Id 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

HIP 일치

다음 표에는 HIP 일치 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

IP 태그

다음 표에는 IP 태그 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

복호화

다음 표에는 복호화 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

터널

다음 표에는 터널 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

인증

다음 표에는 인증 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

URL

다음 표에는 URL 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

GlobalProtect

다음 표에는 GlobalProtect 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

SCTP

다음 표에는 SCTP 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

감사

다음 표에는 감사 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

필드 매핑 참조: 로그 유형과 UDM 이벤트 유형

다음 표에는 Palo Alto Networks Strata Logging Service 방화벽 로그 유형과 해당 UDM 이벤트 유형이 나와 있습니다.

로그 유형	UDM 이벤트 유형
트래픽	NETWORK_CONNECTION
위협	NETWORK_CONNECTION
URL 필터링	NETWORK_CONNECTION
터널	NETWORK_CONNECTION
시스템	하위유형 값이 'dhcp'이면 NETWORK_DHCP가 설정됩니다. 하위유형 값이 'auth'이면 USER_LOGIN이 설정됩니다. 설명 값이 'logged in'이면 USER_LOGIN이 설정됩니다. 설명 값이 'logged out'이면 USER_LOGOUT이 설정됩니다. 다른 하위유형 값에는 GENERIC_EVENT가 설정됩니다.
HIP 일치	NETWORK_CONNECTION
IP 태그	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED 하위유형 값이 'login'이면 USER_LOGIN이 설정됩니다. 하위유형 값이 'logout'이면 USER_LOGOUT이 설정됩니다. 하위유형에 값이 없으면 USER_UNCATEGORIZED가 설정됩니다.
복호화	NETWORK_CONNECTION
인증	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS 하위유형 값이 'auth'이면 USER_LOGIN이 설정됩니다. 하위유형 값이 'logout'이면 USER_LOGOUT이 설정됩니다. 하위유형에 값이 없으면 USER_RESOURCE_ACCESS가 설정됩니다.
SCTP	NETWORK_CONNECTION
감사	GENERIC_EVENT

다음 단계

• Google SecOps에 데이터 수집

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.