Recoger registros de cortafuegos de Palo Alto Networks

Firewall de Palo Alto Networks

Información general

En este documento se describe cómo puede configurar syslog y un reenviador de Google SecOps para recoger los registros del cortafuegos de Palo Alto Networks. En este documento también se explica cómo se asignan los campos de registro del cortafuegos de Palo Alto Networks a los campos del modelo de datos unificado (UDM) de Google SecOps. Para obtener una descripción general de la ingestión de datos en Google SecOps, consulta Ingestión de datos en Google SecOps. Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión PAN_FIREWALL.

Antes de empezar

• Asegúrese de que el producto de cortafuegos de Palo Alto Networks se haya implementado y configurado correctamente. Para obtener instrucciones de configuración detalladas, consulta la documentación de PAN-OS.

• Para comprender los componentes implementados para recoger los registros del cortafuegos de Palo Alto Networks, consulta la arquitectura de implementación. Cada implementación de cliente puede ser diferente de esta representación y puede ser más compleja. En el siguiente diagrama se muestra cómo puedes configurar syslog en un firewall de Palo Alto Networks e instalar un reenviador de Google SecOps en un servidor Linux para reenviar datos de registro a Google SecOps. El analizador admite registros escritos en los siguientes formatos de datos: valores separados por comas (CSV), formato de evento común (CEF) y formato de evento de registro extendido (LEEF).

  

• Verifica los formatos de registro y las versiones de PAN-OS que admite el analizador de Google SecOps. En la siguiente tabla se indican los formatos de registro y las versiones de PAN-OS correspondientes que admite el analizador de Google SecOps:

  Formato de registro	Versión de PAN-OS
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• Verifica los tipos de registros de cortafuegos de Palo Alto Networks que admite el analizador de Google SecOps. El analizador de Google SecOps admite los siguientes tipos de registros de cortafuegos de Palo Alto Networks:

  • Tráfico
  • Amenaza
  • Envíos de WildFire
  • Inspección de túneles
  • Configuración
  • Sistema
  • Coincidencia de HIP
  • Etiqueta IP
  • User-ID
  • Desencriptado
  • Autenticación
  • Filtrado de URLs
  • Filtrado de datos
  • GlobalProtect
  • Correlación
  • GTP
  • SCTP
  • Auditoría

  Para obtener más información sobre los tipos de registros de cortafuegos de Palo Alto Networks, consulta Tipos de registros de PAN-OS.

• Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

• Antes de usar el analizador de cortafuegos de Palo Alto Networks, consulta los cambios en las asignaciones de campos entre el analizador anterior y el actual. Como parte de la migración, asegúrate de que las reglas, las búsquedas, los paneles de control u otros procesos que dependan de los campos originales usen los campos actualizados.

  Por ejemplo, en la versión anterior del analizador, el campo de registro category se asigna al campo security_result.description de UDM. En el analizador de cortafuegos de Palo Alto Networks actual, el campo de registro category se asigna al campo security_result.category_details de UDM. Si migras al analizador de cortafuegos de Palo Alto Networks actual y usas el campo category en tus reglas, debes modificar las reglas para usar el campo security_result.category_details de UDM del analizador actual.

Configurar syslog y el reenviador de Google Security Operations

Para configurar syslog y el reenviador de SecOps de Google, sigue estos pasos:

1. Para monitorizar los registros CSV, configura el perfil del servidor syslog. Para obtener más información, consulta Configurar el perfil del servidor syslog. Cuando configure el perfil del servidor syslog, especifique "Default" como formato de registro personalizado.
2. Para monitorizar los registros de CEF, configure el cortafuegos de Palo Alto Networks para que reenvíe los registros de CEF. Para obtener más información, descarga la guía de integración de CEF de PAN-OS en PDF y consulta la sección "Configuration of Palo Alto Networks NGFW to output CEF events" (Configuración de Palo Alto Networks NGFW para generar eventos CEF).
3. Para monitorizar los registros LEEF, configure el perfil del servidor syslog. Para obtener más información, consulta Reenvío de registros personalizados en formato LEEF.

4. Configura el reenviador de Google SecOps para enviar registros a Google Security Operations. Para obtener más información, consulta Instalar y configurar el reenviador en Linux. A continuación, se muestra un ejemplo de configuración de reenviador de Google SecOps:

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

Configurar el reenvío de syslog en el cortafuegos de Palo Alto Networks

Crear un perfil de servidor syslog

1. Inicia sesión en la consola de gestión de firewall de Palo Alto Networks.
2. Ve a Dispositivo > Perfiles de servidor > Syslog.
3. Haz clic en Añadir para crear un perfil de servidor.
4. Proporcione los siguientes detalles de configuración:
   • Nombre: introduce un nombre descriptivo (por ejemplo, Google SecOps BindPlane).
   • Ubicación: selecciona el sistema virtual (vsys) o Compartido donde estará disponible este perfil.
5. Haz clic en Servidores > Añadir para configurar el servidor syslog.
6. Proporcione los siguientes detalles de configuración del servidor:
   • Nombre: introduce un nombre descriptivo para el servidor (por ejemplo, BindPlane Agent).
   • Servidor Syslog: introduce la dirección IP del agente de BindPlane.
   • Transporte: selecciona UDP o TCP, en función de la configuración de tu agente BindPlane (UDP es el valor predeterminado).
   • Puerto: introduce el número de puerto del agente de BindPlane (por ejemplo, 514).
   • Formato: selecciona BSD (opción predeterminada) o IETF, según tus necesidades.
   • Facility: selecciona LOG_USER (valor predeterminado) u otro valor si es necesario.
7. Haga clic en Aceptar para guardar el perfil del servidor syslog.

Opcional: Configurar un formato de registro personalizado para CEF o LEEF

Si necesitas registros en formato de evento común (CEF) o en formato de evento de registro extendido (LEEF) en lugar de CSV, sigue estos pasos:

1. En el perfil de servidor Syslog, selecciona la pestaña Formato de registro personalizado.
2. Configura el formato de registro personalizado para cada tipo de registro (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID y HIP Match).
3. Para obtener información sobre la configuración del formato CEF, consulta la guía de configuración de CEF de Palo Alto Networks.
4. Haz clic en Aceptar para guardar la configuración.

Crear un perfil de reenvío de registros

1. Vaya a Objetos > Reenvío de registros.
2. Haga clic en Añadir para crear un perfil de reenvío de registros.
3. Proporcione los siguientes detalles de configuración:
   • Nombre: introduce un nombre de perfil (por ejemplo, Google SecOps Forwarding). Si quieres que el cortafuegos asigne automáticamente este perfil a las nuevas reglas y zonas de seguridad, ponle el nombre default.
4. Para cada tipo de registro que quieras reenviar (Tráfico, Amenaza, Envío de WildFire, Filtrado de URLs, Filtrado de datos, Túnel y Autenticación), configura lo siguiente:
   • Haz clic en Añadir en la sección del tipo de registro correspondiente.
   • Syslog selecciona el perfil del servidor syslog que has creado (por ejemplo, Google SecOps BindPlane).
   • Gravedad del registro: selecciona los niveles de gravedad que quieras reenviar (por ejemplo, Todos).
5. Haga clic en Aceptar para guardar el perfil de reenvío de registros.

Aplicar un perfil de reenvío de registros a políticas de seguridad

1. Ve a Políticas > Seguridad.
2. Seleccione las reglas de seguridad para las que quiera habilitar el reenvío de registros.
3. Haz clic en la regla para editarla.
4. Ve a la pestaña Acciones.
5. En el menú Reenvío de registros, selecciona el perfil de reenvío de registros que has creado (por ejemplo, Google SecOps Forwarding).
6. Haz clic en Aceptar para guardar la configuración de la política de seguridad.

Configurar los ajustes de registro de los registros del sistema

1. Ve a Dispositivo > Ajustes de registro.
2. Para cada tipo de registro (System, Configuration, User-ID, HIP Match, Global Protect, IP-Tag y SCTP) y nivel de gravedad, seleccione el perfil de servidor syslog que haya creado.
3. Haga clic en Aceptar para guardar la configuración del registro.

Confirmar los cambios

1. En la parte superior de la interfaz web del cortafuegos, haga clic en Commit (Confirmar).
2. Espera a que la confirmación se complete correctamente.
3. Verifica que los registros se envían al agente de Bindplane comprobando si hay registros de firewall de Palo Alto Networks entrantes en la consola de Google SecOps.

Reenviar registros a Google SecOps mediante el agente Bindplane

1. Instala y configura una máquina virtual Linux.
2. Instala y configura el agente de Bindplane en Linux para reenviar registros a Google SecOps. Para obtener más información sobre cómo instalar y configurar el agente de Bindplane, consulta las instrucciones de instalación y configuración del agente de Bindplane.

Si tienes problemas al crear feeds, ponte en contacto con el equipo de Asistencia de SecOps de Google.

Formatos de registro admitidos

El analizador de cortafuegos de Palo Alto Networks admite registros en formato LEEF,CEF y CSV.

Registros de ejemplo admitidos

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

Referencia de la asignación de campos: campos de registro a campos de UDM

En esta sección se explica cómo asigna el analizador los campos de registro del firewall de Palo Alto Networks a los campos de evento de UDM de Google SecOps para cada tipo de registro. La clave de etiqueta de Google SecOps hace referencia al nombre de la clave asignada al campo UDM Labels.key.

Por ejemplo, en el caso del campo "Virtual System", el nombre del campo es "cs3" en formato CEF y "VirtualSystem" en formato LEEF. El campo de UDM "about.labels.key" contiene el valor "vsys" y el campo de UDM "about.labels.value" contiene el valor de ese campo. Algunos de los nombres de campo de CEF o LEEF no tienen un nombre correspondiente a los nombres de campo del archivo CSV. En estos casos, si añade su propio nombre de variable en el formato de registro personalizado del perfil de syslog, el analizador no lo asignará al campo UDM.

Consulta las siguientes secciones para obtener información sobre la asignación de cada tipo de registro:

• Sistema
• Configuración
• Amenaza o incendio forestal
• Tráfico
• ID de usuario
• Concordancia de HIP
• Etiqueta de IP
• Descifrado
• Túnel
• Autenticación
• URL
• Datos
• GlobalProtect
• Correlación
• GTP
• SCTP
• Auditoría

Sistema

En la siguiente tabla se enumeran los campos de registro del tipo de registro del sistema y sus campos de UDM correspondientes.

Configuración

En la siguiente tabla se enumeran los campos de registro del tipo de registro de configuración y sus campos de UDM correspondientes.

Threat/WildFire

En la tabla siguiente se enumeran los campos de registro del tipo de registro Threat/WildFire y sus campos de UDM correspondientes.

Tráfico

En la siguiente tabla se enumeran los campos de registro del tipo de registro de tráfico y sus campos de UDM correspondientes.

User-ID

En la siguiente tabla se enumeran los campos de registro del tipo de registro user-id y sus campos de UDM correspondientes.

Coincidencia de HIP

En la siguiente tabla se enumeran los campos de registro del tipo de registro de coincidencias de historial de IPs y sus campos de UDM correspondientes.

Etiqueta de IP

En la siguiente tabla se enumeran los campos de registro del tipo de registro de etiquetas de IP y sus campos de UDM correspondientes.

Desencriptado

En la siguiente tabla se enumeran los campos de registro del tipo de registro de descifrado y sus campos de UDM correspondientes.

Túnel

En la siguiente tabla se enumeran los campos de registro del tipo de registro de túnel y sus campos de UDM correspondientes.

Autenticación

En la siguiente tabla se enumeran los campos de registro del tipo de registro de autenticación y sus campos de UDM correspondientes.

URL

En la siguiente tabla se indican los campos de registro del tipo de registro de URL y sus campos de UDM correspondientes.

Datos

En la siguiente tabla se enumeran los campos de registro del tipo de registro de datos y sus campos de UDM correspondientes.

GlobalProtect

En la siguiente tabla se enumeran los campos de registro del tipo de registro GlobalProtect y sus campos de UDM correspondientes.

Correlación

En la siguiente tabla se enumeran los campos de registro del tipo de registro de correlación y sus campos de UDM correspondientes.

GTP

En la tabla siguiente se enumeran los campos de registro del tipo de registro gtp y sus campos de UDM correspondientes.

SCTP

Auditoría

Referencia de asignación de campos: tipos de registro a tipos de evento de UDM

En la siguiente tabla se enumeran los tipos de registros de cortafuegos de Palo Alto Networks y sus tipos de eventos de UDM correspondientes.

Tipo de registro	Tipo de evento de UDM
Tráfico	NETWORK_CONNECTION
Amenaza	NETWORK_CONNECTION
Filtrado de URLs	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Los registros de envíos de WildFire son un subtipo de registro de amenazas y usan el mismo formato syslog.
Filtrado de datos	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Configuración	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED El valor del campo "Command (cmd)" determina la asignación del tipo de evento de UDM. Si el valor del campo cmd es add o clone, se define SETTING_CREATION. Si el valor del campo cmd es delete, se asigna SETTING_DELETION. Si el valor del campo cmd es edit, move, rename, set o commit, se define SETTING_MODIFICATION. Si el valor del campo cmd no contiene ningún valor, se asigna SETTING_UNCATEGORIZED.
Sistema	Si el valor de subtype es "dhcp", se define NETWORK_DHCP. Si el valor de subtype es "auth", se define USER_LOGIN. Si el valor de la descripción es "logged in", se define USER_LOGIN. Si el valor de la descripción es "logged out", se define USER_LOGOUT. En el caso de otros valores del subtipo, se asigna GENERIC_EVENT.
Coincidencia de HIP	NETWORK_CONNECTION
Etiqueta de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Si el valor de subtype es "login", se define USER_LOGIN. Si el valor de subtype es "logout", se define USER_LOGOUT. Si el subtipo no contiene ningún valor, se asigna USER_UNCATEGORIZED.
Desencriptado	NETWORK_CONNECTION
Autenticación	GENERIC_EVENT
SCTP	NETWORK_CONNECTION
Auditoría	GENERIC_EVENT

Delta de asignación de UDM

Referencia de delta de asignación de UDM: cortafuegos de Palo Alto Networks

En la siguiente tabla se muestra la diferencia entre la antigua asignación de UDM de Palo Alto Networks Firewall y la nueva asignación de UDM de Palo Alto Networks Firewall.

Servicio de registro de Strata Firewall de Palo Alto Networks

Información general

El servicio de registro de Strata de Palo Alto Networks® proporciona almacenamiento y agregación de registros centralizados basados en la nube para tus firewalls on-premise y virtuales (nube privada y nube pública), para Prisma Access y para servicios ofrecidos en la nube, como Cortex XDR.El servicio de registro de Strata es seguro, resistente y tolerante a fallos, y asegura que tus datos de registro estén actualizados y disponibles cuando los necesites. Proporciona una infraestructura de registro escalable que te permite no tener que planificar ni implementar colectores de registros para satisfacer tus necesidades de conservación de registros. Si ya tienes Log Collectors locales, el nuevo servicio de registro de Strata puede complementar tu configuración actual. Puede aumentar su infraestructura de recogida de registros con el servicio de registro de Strata basado en la nube para ampliar la capacidad operativa a medida que crece su empresa o para satisfacer las necesidades de capacidad de nuevas ubicaciones.Con este servicio, Palo Alto Networks se encarga del mantenimiento y la monitorización continuos de la infraestructura de registro para que usted pueda centrarse en su empresa.

• Verifica los formatos de registro y las versiones de PAN-OS que admite el analizador del servicio de registro de Strata. En la siguiente tabla se indican los formatos de registro y las versiones de PAN-OS que admite el analizador del servicio de registro de Strata:

  Formato de registro	Versión de PAN-OS
  JSON	12.1

• Verifica los tipos de registros de cortafuegos de Palo Alto Networks que admite el analizador de Google SecOps. El analizador de Google SecOps admite los siguientes tipos de registros de cortafuegos de Palo Alto Networks:

  • Tráfico
  • Amenaza
  • Inspección de túneles
  • Sistema
  • Coincidencia de HIP
  • Etiqueta IP
  • User-ID
  • Desencriptado
  • Autenticación
  • Filtrado de URLs
  • GlobalProtect

Despliegue del servicio de registro de Strata

• Asegúrese de que el producto de cortafuegos de Palo Alto Networks se haya implementado y configurado correctamente. Para obtener instrucciones de configuración detalladas, consulta la documentación de PAN-OS y, a continuación, sigue este documento de implementación antes de enviar los registros al servicio de registro de Strata Requisitos previos de la implementación del servicio de registro de Strata.

Empieza a enviar registros al servicio de registro de Strata:

Para empezar a enviar registros al servicio de registro de Strata, sigue estos pasos:

1. Instalar una versión compatible de PAN-OS®
2. Activar el servicio de registro de Strata: para activar el servicio de registro de Strata, se debe aprovisionar el certificado que necesitan los cortafuegos para conectarse de forma segura al servicio de registro de Strata.
3. Incorporar cortafuegos al servicio de registro de Strata con o sin Panorama

Para ver los pasos detallados de la configuración inicial, consulta la documentación.

Reenviar registros del servicio de registro de Strata

Para satisfacer tus necesidades de almacenamiento, informes y monitorización a largo plazo, o bien tus requisitos legales y de cumplimiento, puedes configurar Strata Logging Service para que reenvíe los registros a un servidor HTTPS o a los siguientes SIEMs:

1. Exabeam
2. Google Chronicle
3. Microsoft Sentinel
4. Recopilador de eventos HTTP (HEC) de Splunk

Usa el método de reenvío HTTPS para reenviar los registros mediante el servicio de registro de Strata. Para obtener información detallada, consulta esta documentación.

Formatos de registro admitidos

El analizador de firewall del servicio de registro de Strata de Palo Alto Networks admite registros en formato JSON.

Registros de ejemplo admitidos

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

Referencia de la asignación de campos: campos de registro a campos de UDM

En esta sección se explica cómo asigna el analizador los campos de registro del firewall de Palo Alto Networks Strata Logging Service a los campos de evento de UDM de Google para cada tipo de registro.

Consulta las siguientes secciones para obtener información sobre la asignación de cada tipo de registro:

• Sistema
• Amenaza
• Tráfico
• ID de usuario
• Concordancia de HIP
• Etiqueta de IP
• Descifrado
• Túnel
• Autenticación
• URL
• GlobalProtect
• SCTP
• Auditoría

Sistema

En la siguiente tabla se enumeran los campos de registro del tipo de registro del sistema y sus campos de UDM correspondientes.

Amenaza

En la siguiente tabla se enumeran los campos de registro del tipo de registro Amenaza y sus campos de UDM correspondientes.

Tráfico

En la siguiente tabla se enumeran los campos de registro del tipo de registro de tráfico y sus campos de UDM correspondientes.

User-ID

En la siguiente tabla se enumeran los campos de registro del tipo de registro User-Id y sus campos de UDM correspondientes.

Coincidencia de HIP

En la siguiente tabla se enumeran los campos de registro del tipo de registro de coincidencias de historial de IPs y sus campos de UDM correspondientes.

Etiqueta de IP

En la siguiente tabla se enumeran los campos de registro del tipo de registro de etiquetas de IP y sus campos de UDM correspondientes.

Desencriptado

En la siguiente tabla se enumeran los campos de registro del tipo de registro de descifrado y sus campos de UDM correspondientes.

Túnel

En la siguiente tabla se enumeran los campos de registro del tipo de registro Tunnel y sus campos de UDM correspondientes.

Autenticación

En la siguiente tabla se enumeran los campos de registro del tipo de registro de autenticación y sus campos de UDM correspondientes.

URL

En la siguiente tabla se indican los campos de registro del tipo de registro de URL y sus campos de UDM correspondientes.

GlobalProtect

En la siguiente tabla se enumeran los campos de registro del tipo de registro GlobalProtect y sus campos de UDM correspondientes.

SCTP

En la siguiente tabla se enumeran los campos de registro del tipo de registro SCTP y sus campos de UDM correspondientes.

Auditoría

En la siguiente tabla se enumeran los campos de registro del tipo de registro de auditoría y sus campos de UDM correspondientes.

Referencia de asignación de campos: tipos de registro a tipos de evento de UDM

En la siguiente tabla se muestran los tipos de registros de cortafuegos del servicio de registro de Strata de Palo Alto Networks y sus tipos de eventos de UDM correspondientes.

Tipo de registro	Tipo de evento de UDM
Tráfico	NETWORK_CONNECTION
Amenaza	NETWORK_CONNECTION
Filtrado de URLs	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
Sistema	Si el valor de subtype es "dhcp", se define NETWORK_DHCP. Si el valor de subtype es "auth", se define USER_LOGIN. Si el valor de la descripción es "logged in", se define USER_LOGIN. Si el valor de la descripción es "logged out", se define USER_LOGOUT. En el caso de otros valores del subtipo, se asigna GENERIC_EVENT.
Coincidencia de HIP	NETWORK_CONNECTION
Etiqueta de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Si el valor de subtype es "login", se define USER_LOGIN. Si el valor de subtype es "logout", se define USER_LOGOUT. Si el subtipo no contiene ningún valor, se asigna USER_UNCATEGORIZED.
Desencriptado	NETWORK_CONNECTION
Autenticación	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS Si el valor de subtype es "auth", se define USER_LOGIN. Si el valor de subtype es "logout", se define USER_LOGOUT. Si el subtipo no contiene ningún valor, se asigna USER_RESOURCE_ACCESS.
SCTP	NETWORK_CONNECTION
Auditoría	NETWORK_CONNECTION

Siguientes pasos

• Ingestión de datos en Google SecOps

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.