Recopila registros del firewall de Palo Alto Networks

Firewall de Palo Alto Networks

Descripción general

En este documento, se describe cómo puedes configurar syslog y un retransmisor de SecOps de Google para recopilar registros de firewall de Palo Alto Networks. En este documento, también se explica cómo los campos de registro del firewall de Palo Alto Networks se asignan a los campos del Modelo de datos unificado (UDM) de Google SecOps. Para obtener una descripción general de la transferencia de datos a Google SecOps, consulta Transferencia de datos a Google SecOps. Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia PAN_FIREWALL.

Antes de comenzar

• Asegúrate de que el producto de firewall de Palo Alto Networks esté implementado y configurado correctamente. Para obtener instrucciones de configuración detalladas, consulta la documentación de PAN-OS.

• Para comprender los componentes implementados para recopilar los registros del firewall de Palo Alto Networks, revisa la arquitectura de implementación. Cada implementación para el cliente puede ser diferente de esta representación y más compleja. En el siguiente diagrama, se muestra cómo puedes configurar syslog en un firewall de Palo Alto Networks y, luego, instalar un agente de reenvío de SecOps de Google en un servidor Linux para reenviar los datos de registro a SecOps de Google. El analizador admite registros escritos en los siguientes formatos de datos: valores separados por comas (CSV), formato de evento común (CEF) y formato extendido de evento de registro (LEEF).

  

• Verifica los formatos de registro y las versiones de PAN-OS que admite el analizador de Google SecOps. En la siguiente tabla, se enumeran los formatos de registro y las versiones de PAN-OS correspondientes que admite el analizador de Google SecOps:

  Formato de registro	Versión de PAN-OS
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• Verifica los tipos de registros del firewall de Palo Alto Networks que admite el analizador de SecOps de Google. El analizador de SecOps de Google admite los siguientes tipos de registros de firewall de Palo Alto Networks:

  • Tráfico
  • Amenaza
  • Envíos a WildFire
  • Inspección de túneles
  • Configuración
  • Sistema
  • Coincidencia de HIP
  • IP-Tag
  • User-ID
  • Desencriptación
  • Autenticación
  • Filtros de URL
  • Filtrado de datos
  • GlobalProtect
  • Correlación
  • GTP
  • SCTP
  • Auditoría

  Para obtener más información sobre los tipos de registros del firewall de Palo Alto Networks, consulta Tipos de registros de PAN-OS.

• Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

• Antes de usar el analizador de firewall de Palo Alto Networks, revisa los cambios en las asignaciones de campos entre el analizador anterior y el analizador de firewall de Palo Alto Networks actual. Como parte de la migración, asegúrate de que las reglas, las búsquedas, los paneles o cualquier otro proceso que dependa de los campos originales usen los campos actualizados.

  Por ejemplo, en la versión anterior del analizador, el campo de registro category se asigna al campo security_result.description del UDM. En el analizador de firewall actual de Palo Alto Networks, el campo de registro category se asigna al campo security_result.category_details de UDM. Si migras al analizador de firewall actual de Palo Alto Networks y usas el campo category en tus reglas, debes modificarlas para que usen el campo security_result.category_details del UDM del analizador actual.

Configura syslog y el reenvío de Google Security Operations

Para configurar syslog y el retransmisor de Google SecOps, completa los siguientes pasos:

1. Para supervisar los registros CSV, configura el perfil del servidor Syslog. Para obtener más información, consulta Cómo configurar el perfil del servidor syslog. Cuando configures el perfil del servidor syslog, especifica "Predeterminado" como el formato de registro personalizado.
2. Para supervisar los registros de CEF, configura el firewall de Palo Alto Networks para que reenvíe los registros de CEF. Para obtener más información, descarga la guía de integración de CEF de PAN-OS en formato PDF y consulta la sección "Configuración del NGFW de Palo Alto Networks para generar eventos de CEF".
3. Para supervisar los registros de LEEF, configura el perfil del servidor syslog. Para obtener más información, consulta Reenvío de registros personalizados en formato LEEF.

4. Configura el reenvío de Google SecOps para enviar registros a Google Security Operations. Para obtener más información, consulta Cómo instalar y configurar el reenvío en Linux. A continuación, se muestra un ejemplo de configuración de un retransmisor de Google SecOps:

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

Configura el reenvío de syslog en el firewall de PAN

Crea un perfil de servidor syslog

1. Accede a la consola de administración del firewall de Palo Alto Networks.
2. Ve a Device > Server Profiles > Syslog.
3. Haz clic en Agregar para crear un perfil de servidor nuevo.
4. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre descriptivo (por ejemplo, Google SecOps BindPlane).
   • Ubicación: Selecciona el sistema virtual (vsys) o Compartido en el que estará disponible este perfil.
5. Haz clic en Servidores > Agregar para configurar el servidor syslog.
6. Proporciona los siguientes detalles de configuración del servidor:
   • Nombre: Ingresa un nombre descriptivo para el servidor (por ejemplo, BindPlane Agent).
   • Servidor Syslog: Ingresa la dirección IP del agente de BindPlane.
   • Transporte: Selecciona UDP o TCP, según la configuración de tu agente de BindPlane (UDP es el valor predeterminado).
   • Puerto: Ingresa el número de puerto del agente de BindPlane (por ejemplo, 514).
   • Formato: Selecciona BSD (predeterminado) o IETF, según tus requisitos.
   • Facility: Selecciona LOG_USER (predeterminado) o cualquier otra instalación según sea necesario.
7. Haz clic en Aceptar para guardar el perfil del servidor syslog.

Opcional: Configura un formato de registro personalizado para CEF o LEEF

Si necesitas registros en formato de evento común (CEF) o en formato extendido de evento de registro (LEEF) en lugar de CSV, haz lo siguiente:

1. En el perfil del servidor Syslog, selecciona la pestaña Formato de registro personalizado.
2. Configura el formato de registro personalizado para cada tipo de registro (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID, HIP Match).
3. Para obtener información sobre la configuración del formato CEF, consulta la Guía de configuración de CEF de Palo Alto Networks.
4. Haz clic en Aceptar para guardar la configuración.

Crea un perfil de reenvío de registros

1. Ve a Objetos > Reenvío de registros.
2. Haz clic en Agregar para crear un perfil nuevo de reenvío de registros.
3. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre de perfil (por ejemplo, Google SecOps Forwarding). Si quieres que el firewall asigne automáticamente este perfil a las nuevas reglas y zonas de seguridad, asígnale el nombre default.
4. Para cada tipo de registro que desees reenviar (Tráfico, Amenaza, Envío a WildFire, Filtrado de URL, Filtrado de datos, Túnel, Autenticación), configura lo siguiente:
   • Haz clic en Agregar en la sección del tipo de registro correspondiente.
   • Syslog: Selecciona el perfil del servidor syslog que creaste (por ejemplo, Google SecOps BindPlane).
   • Gravedad del registro: Selecciona los niveles de gravedad que se reenviarán (por ejemplo, Todos).
5. Haz clic en Aceptar para guardar el perfil de reenvío de registros.

Aplica el perfil de reenvío de registros a las políticas de seguridad

1. Ve a Políticas > Seguridad.
2. Selecciona las reglas de seguridad para las que deseas habilitar el reenvío de registros.
3. Haz clic en la regla para editarla.
4. Ve a la pestaña Acciones.
5. En el menú Log Forwarding, selecciona el perfil de reenvío de registros que creaste (por ejemplo, Google SecOps Forwarding).
6. Haz clic en Aceptar para guardar la configuración de la política de seguridad.

Configura los parámetros de registro para los registros del sistema

1. Ve a Device > Log Settings.
2. Para cada tipo de registro (System, Configuration, User-ID, HIP Match, Global Protect, IP-Tag, SCTP) y nivel de gravedad, selecciona el perfil del servidor syslog que creaste.
3. Haz clic en Aceptar para guardar la configuración del registro.

Confirma los cambios

1. Haz clic en Commit en la parte superior de la interfaz web del firewall.
2. Espera a que la confirmación se complete correctamente.
3. Verifica que los registros se envíen al agente de Bindplane. Para ello, consulta la consola de Google SecOps en busca de registros entrantes del firewall de Palo Alto Networks.

Reenvía registros a Google SecOps con el agente de BindPlane

1. Instala y configura una máquina virtual de Linux.
2. Instala y configura el agente de BindPlane en Linux para reenviar registros a Google SecOps. Para obtener más información sobre cómo instalar y configurar el agente de Bindplane, consulta las instrucciones de instalación y configuración del agente de Bindplane.

Si tienes problemas para crear feeds, comunícate con el equipo de asistencia de Google SecOps.

Formatos de registro admitidos

El analizador de firewall de Palo Alto Networks admite registros en formato LEEF,CEF y CSV.

Registros de muestra admitidos

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

Referencia de la asignación de campos: Campos de registros a campos del UDM

En esta sección, se explica cómo el analizador asigna los campos de registro del firewall de Palo Alto Networks a los campos de eventos del UDM de Google SecOps para cada tipo de registro. La clave de la etiqueta de Google SecOps hace referencia al nombre de la clave asignada al campo Labels.key del UDM.

Por ejemplo, en el caso del campo "Sistema virtual", el nombre del campo es "cs3" en formato CEF y "VirtualSystem" en formato LEEF. El campo del UDM "about.labels.key" contiene el valor "vsys", y el campo del UDM "about.labels.value" contiene el valor de ese campo. Algunos de los nombres de campos de CEF o LEEF no tienen un nombre correspondiente a los nombres de campos del CSV. En esos casos, si agregas tu propio nombre de variable en el formato de registro personalizado del perfil de syslog, el analizador no lo asignará al campo del UDM.

Consulta las siguientes secciones para obtener referencias de asignación de cada tipo de registro:

• Sistema
• Config
• Amenaza/incendio
• Tráfico
• ID de usuario
• HIP match
• Etiqueta de IP
• Desencriptación
• Túnel
• Authentication
• URL
• Datos
• GlobalProtect
• Correlación
• GTP
• SCTP
• Auditar

Sistema

En la siguiente tabla, se enumeran los campos de registro del tipo de registro del sistema y sus campos de UDM correspondientes.

Configuración

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de configuración y sus campos de UDM correspondientes.

Amenaza/WildFire

En la siguiente tabla, se enumeran los campos de registro del tipo de registro Threat/WildFire y sus campos de UDM correspondientes.

Tráfico

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de tráfico y sus campos de UDM correspondientes.

User-ID

En la siguiente tabla, se enumeran los campos de registro del tipo de registro user-id y sus campos de UDM correspondientes.

Coincidencia de HIP

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de coincidencia de HIP y sus campos de UDM correspondientes.

Etiqueta de IP

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de etiquetas de IP y sus campos de UDM correspondientes.

Desencriptación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de desencriptación y sus campos de UDM correspondientes.

Túnel

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de túnel y sus campos de UDM correspondientes.

Autenticación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de autenticación y sus campos de UDM correspondientes.

URL

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de URL y sus campos de UDM correspondientes.

Datos

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de datos y sus campos de UDM correspondientes.

GlobalProtect

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de GlobalProtect y sus campos de UDM correspondientes.

Correlación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro Correlation y sus campos de UDM correspondientes.

GTP

En la siguiente tabla, se enumeran los campos de registro del tipo de registro gtp y sus campos de UDM correspondientes.

SCTP

Auditoría

Referencia de asignación de campos: Tipos de registros a tipo de evento de UDM

En la siguiente tabla, se enumeran los tipos de registros de firewall de Palo Alto Networks y sus tipos de eventos de UDM correspondientes.

Tipo de registro	Tipo de evento de UDM
Tráfico	NETWORK_CONNECTION
Amenaza	NETWORK_CONNECTION
Filtrado de URLs	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Los registros de envíos de WildFire son un subtipo del tipo de registro de amenazas y usan el mismo formato de syslog.
Filtrado de datos	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Configuración	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED El valor del campo "Comando (cmd)" determina la asignación del tipo de evento del UDM. Si el valor del campo cmd es add o clone, se establece SETTING_CREATION. Si el valor del campo cmd es delete, se establece SETTING_DELETION. Si el valor del campo cmd es edit, move, rename, set o commit, se establece SETTING_MODIFICATION. Si el valor del campo cmd no contiene ningún valor, se establece SETTING_UNCATEGORIZED.
Sistema	Si el valor del subtipo es "dhcp", se establece NETWORK_DHCP. Si el valor del subtipo es "auth", se establece USER_LOGIN. Si el valor de la descripción es "logged in", se establece USER_LOGIN. Si el valor de la descripción es "logged out", se establece USER_LOGOUT. Para otros valores del subtipo, se establece GENERIC_EVENT.
HIP Match	NETWORK_CONNECTION
Etiqueta de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Si el valor del subtipo es "login", se establece USER_LOGIN. Si el valor del subtipo es "logout", se establece USER_LOGOUT. Si el subtipo no contiene ningún valor, se establece USER_UNCATEGORIZED.
Desencriptación	NETWORK_CONNECTION
Autenticación	GENERIC_EVENT
SCTP	NETWORK_CONNECTION
Auditoría	GENERIC_EVENT

Delta de asignación de UDM

Referencia del delta de la asignación del UDM: Firewall de Palo Alto Networks

En la siguiente tabla, se muestra la diferencia entre la asignación de UDM anterior de Palo Alto Networks Firewall y la asignación de UDM nueva de Palo Alto Networks Firewall.

Servicio de registro de Strata Firewall de Palo Alto Networks

Descripción general

El servicio de registro de Strata de Palo Alto Networks® proporciona almacenamiento y agregación de registros centralizados basados en la nube para tus firewalls locales y virtuales (nube privada y nube pública), para Prisma Access y para servicios entregados en la nube, como Cortex XDR.El servicio de registro de Strata es seguro, resiliente y tolerante a fallas, y garantiza que tus datos de registro estén actualizados y disponibles cuando los necesites. Proporciona una infraestructura de registro escalable que alivia la necesidad de planificar e implementar colectores de registros para satisfacer tus necesidades de retención de registros. Si ya tienes recopiladores de registros locales, el nuevo servicio de registro de Strata puede complementar tu configuración existente. Puedes aumentar tu infraestructura existente de recopilación de registros con el servicio de registro de Strata basado en la nube para expandir la capacidad operativa a medida que crece tu empresa o para satisfacer las necesidades de capacidad de las ubicaciones nuevas.Con este servicio, Palo Alto Networks se encarga del mantenimiento y la supervisión continuos de la infraestructura de registro para que puedas concentrarte en tu empresa.

• Verifica los formatos de registro y las versiones de PAN-OS que admite el analizador del servicio de registro de Strata. En la siguiente tabla, se enumeran los formatos de registro y las versiones correspondientes de PAN-OS que admite el analizador del servicio de registro de Strata:

  Formato de registro	Versión de PAN-OS
  JSON	12.1

• Verifica los tipos de registros del firewall de Palo Alto Networks que admite el analizador de SecOps de Google. El analizador de SecOps de Google admite los siguientes tipos de registros de firewall de Palo Alto Networks:

  • Tráfico
  • Amenaza
  • Inspección de túneles
  • Sistema
  • Coincidencia de HIP
  • IP-Tag
  • User-ID
  • Desencriptación
  • Autenticación
  • Filtros de URL
  • GlobalProtect

Implementación del servicio de registro de Strata

• Asegúrate de que el producto de firewall de Palo Alto Networks esté implementado y configurado correctamente. Para obtener instrucciones de configuración detalladas, consulta la Documentación de PAN-OS y, luego, sigue este documento de implementación antes de enviar registros al servicio de registro de Strata Requisitos previos para la implementación del servicio de registro de Strata.

Comienza a enviar registros al servicio de Strata Logging:

Para comenzar a enviar registros al servicio de Strata Logging, sigue estos pasos:

1. Instala una versión compatible de PAN-OS®
2. Activa el servicio de registro de Strata: La activación del servicio de registro de Strata incluye el aprovisionamiento del certificado que los firewalls necesitan para conectarse de forma segura al servicio de registro de Strata.
3. Incorpora firewalls al servicio de registro de Strata con o sin Panorama

Para conocer los pasos detallados de incorporación, consulta la Documentación.

Reenvía registros del servicio de registro de Strata

Para satisfacer tus necesidades de almacenamiento, informes y supervisión a largo plazo, o bien de cumplimiento y legales, puedes configurar el Servicio de registro de Strata para que reenvíe los registros a un servidor HTTPS o a los siguientes SIEM:

1. Exabeam
2. Google Chronicle
3. Microsoft Sentinel
4. Recopilador de eventos HTTP (HEC) de Splunk

Usa el método de reenvío HTTPS para reenviar los registros con el Servicio de registro de Strata. Para obtener información detallada, consulta esta documentación.

Formatos de registro admitidos

El analizador de firewall de Strata Logging Service de Palo Alto Networks admite registros en formato JSON.

Registros de muestra admitidos

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

Referencia de la asignación de campos: Campos de registros a campos del UDM

En esta sección, se explica cómo el analizador asigna los campos de registro del firewall del servicio de registro de Strata de Palo Alto Networks a los campos de eventos del UDM de Google para cada tipo de registro.

Consulta las siguientes secciones para obtener referencias de asignación de cada tipo de registro:

• Sistema
• Amenaza
• Tráfico
• ID de usuario
• HIP match
• Etiqueta de IP
• Desencriptación
• Túnel
• Authentication
• URL
• GlobalProtect
• SCTP
• Auditar

Sistema

En la siguiente tabla, se enumeran los campos de registro del tipo de registro del sistema y sus campos de UDM correspondientes.

Amenaza

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de amenazas y sus campos de UDM correspondientes.

Tráfico

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de tráfico y sus campos de UDM correspondientes.

User-ID

En la siguiente tabla, se enumeran los campos de registro del tipo de registro User-ID y sus campos de UDM correspondientes.

Coincidencia de HIP

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de coincidencia de HIP y sus campos de UDM correspondientes.

Etiqueta de IP

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de etiquetas de IP y sus campos de UDM correspondientes.

Desencriptación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro Decryption y sus campos de UDM correspondientes.

Túnel

En la siguiente tabla, se enumeran los campos de registro del tipo de registro Túnel y sus campos de UDM correspondientes.

Autenticación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro Authentication y sus campos de UDM correspondientes.

URL

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de URL y sus campos de UDM correspondientes.

GlobalProtect

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de GlobalProtect y sus campos de UDM correspondientes.

SCTP

En la siguiente tabla, se enumeran los campos de registro del tipo de registro SCTP y sus campos de UDM correspondientes.

Auditoría

En la siguiente tabla, se enumeran los campos de registro del tipo Registro de auditoría y sus campos de UDM correspondientes.

Referencia de asignación de campos: Tipos de registros a tipo de evento de UDM

En la siguiente tabla, se enumeran los tipos de registros del firewall del servicio de registro de Strata de Palo Alto Networks y sus tipos de eventos de UDM correspondientes.

Tipo de registro	Tipo de evento de UDM
Tráfico	NETWORK_CONNECTION
Amenaza	NETWORK_CONNECTION
Filtrado de URLs	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
Sistema	Si el valor del subtipo es "dhcp", se establece NETWORK_DHCP. Si el valor del subtipo es "auth", se establece USER_LOGIN. Si el valor de la descripción es "logged in", se establece USER_LOGIN. Si el valor de la descripción es "logged out", se establece USER_LOGOUT. Para otros valores del subtipo, se establece GENERIC_EVENT.
HIP Match	NETWORK_CONNECTION
Etiqueta de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Si el valor del subtipo es "login", se establece USER_LOGIN. Si el valor del subtipo es "logout", se establece USER_LOGOUT. Si el subtipo no contiene ningún valor, se establece USER_UNCATEGORIZED.
Desencriptación	NETWORK_CONNECTION
Autenticación	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS Si el valor del subtipo es "auth", se establece USER_LOGIN. Si el valor del subtipo es "logout", se establece USER_LOGOUT. Si el subtipo no contiene ningún valor, se establece USER_RESOURCE_ACCESS.
SCTP	NETWORK_CONNECTION
Auditoría	NETWORK_CONNECTION

¿Qué sigue?

• Ingesta de datos en Google SecOps

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.