Mengumpulkan log firewall Palo Alto Networks

Firewall Palo Alto Networks

Ringkasan

Dokumen ini menjelaskan cara mengonfigurasi syslog dan penerus Google SecOps untuk mengumpulkan log firewall Palo Alto Networks. Dokumen ini juga menjelaskan cara kolom log firewall Palo Alto Networks dipetakan ke kolom Model Data Terpadu (UDM) Google SecOps. Untuk mengetahui ringkasan tentang penyerapan data Google SecOps, lihat Penyerapan data ke Google SecOps. Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan PAN_FIREWALL.

Sebelum memulai

• Pastikan produk firewall Palo Alto Networks di-deploy dan dikonfigurasi dengan benar. Untuk petunjuk penyiapan mendetail, lihat Dokumentasi PAN-OS.

• Untuk memahami komponen yang di-deploy untuk mengumpulkan log firewall Palo Alto Networks, tinjau arsitektur deployment. Setiap deployment pelanggan mungkin berbeda dari representasi ini dan mungkin lebih kompleks. Diagram berikut menunjukkan cara mengonfigurasi syslog di firewall Palo Alto Networks dan menginstal penerus Google SecOps di server Linux untuk meneruskan data log ke Google SecOps. Parser mendukung log yang ditulis dalam format data berikut: Comma Separated Values (CSV), Common Event Format (CEF), dan Log Event Extended Format (LEEF).

  

• Verifikasi format log dan versi PAN-OS yang didukung parser Google SecOps. Tabel berikut mencantumkan format log dan versi PAN-OS yang sesuai yang didukung oleh parser Google SecOps:

  Format log	Versi PAN-OS
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• Verifikasi jenis log firewall Palo Alto Networks yang didukung oleh parser Google SecOps. Parser Google SecOps mendukung jenis log firewall Palo Alto Networks berikut:

  • Traffic
  • Ancaman
  • Pengiriman WildFire
  • Pemeriksaan terowongan
  • Konfigurasi
  • Sistem
  • Pencocokan HIP
  • IP-Tag
  • User-ID
  • Dekripsi
  • Autentikasi
  • Pemfilteran URL
  • Pemfilteran data
  • GlobalProtect
  • Korelasi
  • GTP
  • SCTP
  • Audit

  Untuk mengetahui informasi selengkapnya tentang jenis log firewall Palo Alto Networks, lihat Jenis log PAN-OS.

• Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.

• Sebelum menggunakan parser firewall Palo Alto Networks, tinjau perubahan dalam pemetaan kolom antara parser sebelumnya dan parser firewall Palo Alto Networks saat ini. Sebagai bagian dari migrasi, pastikan aturan, penelusuran, dasbor, atau proses lain yang bergantung pada kolom asli menggunakan kolom yang diperbarui.

  Misalnya, pada versi parser sebelumnya, kolom log category dipetakan ke kolom UDM security_result.description. Di parser firewall Palo Alto Networks saat ini, kolom log category dipetakan ke kolom UDM security_result.category_details. Jika Anda bermigrasi ke parser firewall Palo Alto Networks saat ini dan menggunakan kolom category dalam aturan, Anda harus mengubah aturan untuk menggunakan kolom UDM security_result.category_details dari parser saat ini.

Mengonfigurasi syslog dan penerus Google Security Operations

Untuk mengonfigurasi syslog dan penerus Google SecOps, selesaikan langkah-langkah berikut:

1. Untuk memantau log CSV, konfigurasi profil server syslog. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi profil server syslog. Saat mengonfigurasi profil server syslog, tentukan "Default" sebagai format log kustom.
2. Untuk memantau log CEF, konfigurasi firewall Palo Alto Networks untuk meneruskan log CEF. Untuk mengetahui informasi selengkapnya, download PDF panduan Integrasi CEF PAN-OS dan lihat bagian "Konfigurasi NGFW Palo Alto Networks untuk menghasilkan peristiwa CEF".
3. Untuk memantau log LEEF, konfigurasi profil server syslog. Untuk mengetahui informasi selengkapnya, lihat Penerusan log kustom dalam format LEEF.

4. Konfigurasi penerusan Google SecOps untuk mengirim log ke Google Security Operations. Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengonfigurasi penerusan di Linux. Berikut adalah contoh konfigurasi penerus Google SecOps:

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

Mengonfigurasi penerusan syslog di PAN Firewall

Membuat profil server syslog

1. Login ke Konsol Pengelolaan Firewall Palo Alto Networks.
2. Buka Perangkat > Profil Server > Syslog.
3. Klik Tambahkan untuk membuat profil server baru.
4. Berikan detail konfigurasi berikut:
   • Name: Masukkan nama deskriptif (misalnya, Google SecOps BindPlane).
   • Lokasi: Pilih sistem virtual (vsys) atau Bersama tempat profil ini akan tersedia.
5. Klik Servers > Add untuk mengonfigurasi server syslog.
6. Berikan detail konfigurasi server berikut:
   • Name: Masukkan nama deskriptif untuk server (misalnya, BindPlane Agent).
   • Server Syslog: Masukkan alamat IP Agen BindPlane.
   • Transport: Pilih UDP atau TCP, bergantung pada konfigurasi BindPlane Agent Anda (UDP adalah default).
   • Port: Masukkan nomor port Agen BindPlane (misalnya, 514).
   • Format: Pilih BSD (default) atau IETF, bergantung pada persyaratan Anda.
   • Fasilitas: Pilih LOG_USER (default) atau fasilitas lain sesuai kebutuhan.
7. Klik OK untuk menyimpan profil server syslog.

Opsional: Mengonfigurasi format log kustom untuk CEF atau LEEF

Jika Anda memerlukan log CEF (Common Event Format) atau LEEF (Log Event Extended Format) dan bukan CSV:

1. Di Profil Server Syslog, pilih tab Custom Log Format.
2. Konfigurasi format log kustom untuk setiap jenis log (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID, HIP Match).
3. Untuk konfigurasi format CEF, lihat Panduan Konfigurasi CEF Palo Alto Networks.
4. Klik OK untuk menyimpan konfigurasi.

Membuat profil penerusan log

1. Buka Objects > Log Forwarding.
2. Klik Tambahkan untuk membuat profil penerusan log baru.
3. Berikan detail konfigurasi berikut:
   • Nama: Masukkan nama profil (misalnya, Google SecOps Forwarding). Jika Anda ingin firewall otomatis menetapkan profil ini ke aturan dan zona keamanan baru, beri nama default.
4. Untuk setiap jenis log yang ingin Anda teruskan (Traffic, Threat, WildFire Submission, URL Filtering, Data Filtering, Tunnel, Authentication), konfigurasikan hal berikut:
   • Klik Tambahkan di bagian jenis log yang sesuai.
   • Syslog: Pilih profil server syslog yang Anda buat (misalnya, Google SecOps BindPlane).
   • Tingkat Keparahan Log: Pilih tingkat keparahan yang akan diteruskan (misalnya, Semua).
5. Klik OK untuk menyimpan profil penerusan log.

Menerapkan profil penerusan log ke kebijakan keamanan

1. Buka Kebijakan > Keamanan.
2. Pilih aturan keamanan yang ingin Anda aktifkan penerusan log-nya.
3. Klik aturan untuk mengeditnya.
4. Buka tab Tindakan.
5. Di menu Log Forwarding, pilih profil penerusan log yang Anda buat (misalnya, Google SecOps Forwarding).
6. Klik OK untuk menyimpan konfigurasi kebijakan keamanan.

Mengonfigurasi setelan log untuk log sistem

1. Buka Perangkat > Setelan Log.
2. Untuk setiap jenis log (Sistem, Konfigurasi, User-ID, HIP Match, Global Protect, IP-Tag, SCTP) dan tingkat keparahan, pilih profil server syslog yang Anda buat.
3. Klik Oke untuk menyimpan setelan log.

Lakukan commit perubahan

1. Klik Commit di bagian atas antarmuka web firewall.
2. Tunggu hingga commit berhasil diselesaikan.
3. Pastikan log dikirim ke agen Bindplane dengan memeriksa konsol Google SecOps untuk log firewall Palo Alto Networks yang masuk.

Meneruskan Log ke Google SecOps menggunakan agen Bindplane

1. Instal dan siapkan Mesin Virtual Linux.
2. Instal dan konfigurasi agen BindPlane di Linux untuk meneruskan log ke Google SecOps. Untuk mengetahui informasi selengkapnya tentang cara menginstal dan mengonfigurasi agen BindPlane, lihat petunjuk penginstalan dan konfigurasi agen BindPlane.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan SecOps Google.

Format log yang didukung

Parser firewall Palo Alto Networks mendukung log dalam format LEEF, CEF, dan CSV.

Contoh log yang didukung

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

Referensi pemetaan kolom: Kolom log ke kolom UDM

Bagian ini menjelaskan cara parser memetakan kolom log firewall Palo Alto Networks ke kolom peristiwa UDM Google SecOps untuk setiap jenis log. Kunci label Google SecOps mengacu pada nama kunci yang dipetakan ke kolom UDM Labels.key.

Misalnya, untuk kolom "Virtual System", nama kolomnya adalah "cs3" dalam format CEF dan "VirtualSystem" dalam format LEEF. Kolom UDM "about.labels.key" berisi nilai "vsys" dan kolom UDM "about.labels.value" berisi nilai kolom tersebut. Beberapa nama kolom CEF atau LEEF tidak memiliki nama yang sesuai dengan nama kolom CSV. Dalam kasus tersebut, jika Anda menambahkan nama variabel Anda sendiri dalam format log kustom di profil syslog, parser tidak akan memetakannya ke kolom UDM.

Lihat bagian berikut untuk referensi pemetaan setiap jenis log:

• Sistem
• Config
• Ancaman/kebakaran hutan
• Traffic
• ID Pengguna
• Pencocokan HIP
• Tag IP
• Dekripsi
• Tunnel
• Authentication
• URL
• Data
• GlobalProtect
• Korelasi
• GTP
• SCTP
• Audit

Sistem

Tabel berikut mencantumkan kolom log jenis log sistem dan kolom UDM yang sesuai.

Konfigurasi

Tabel berikut mencantumkan kolom log jenis log config dan kolom UDM yang sesuai.

Ancaman/WildFire

Tabel berikut mencantumkan kolom log jenis log Threat/WildFire dan kolom UDM yang sesuai.

Traffic

Tabel berikut mencantumkan kolom log jenis log traffic dan kolom UDM yang sesuai.

User-ID

Tabel berikut mencantumkan kolom log jenis log user-id dan kolom UDM yang sesuai.

Pencocokan HIP

Tabel berikut mencantumkan kolom log jenis log kecocokan HIP dan kolom UDM yang sesuai.

Tag IP

Tabel berikut mencantumkan kolom log jenis log tag IP dan kolom UDM yang sesuai.

Dekripsi

Tabel berikut mencantumkan kolom log jenis log dekripsi dan kolom UDM yang sesuai.

Terowongan

Tabel berikut mencantumkan kolom log jenis log tunnel dan kolom UDM yang sesuai.

Autentikasi

Tabel berikut mencantumkan kolom log jenis log autentikasi dan kolom UDM yang sesuai.

URL

Tabel berikut mencantumkan kolom log jenis log URL dan kolom UDM yang sesuai.

Data

Tabel berikut mencantumkan kolom log jenis log data dan kolom UDM yang sesuai.

GlobalProtect

Tabel berikut mencantumkan kolom log jenis log GlobalProtect dan kolom UDM yang sesuai.

Korelasi

Tabel berikut mencantumkan kolom log jenis log Korelasi dan kolom UDM yang sesuai.

GTP

Tabel berikut mencantumkan kolom log jenis log gtp dan kolom UDM yang sesuai.

SCTP

Audit

Referensi pemetaan kolom: Jenis log ke jenis peristiwa UDM

Tabel berikut mencantumkan jenis log firewall Palo Alto Networks dan jenis peristiwa UDM yang sesuai.

Jenis log	Jenis peristiwa UDM
Traffic	NETWORK_CONNECTION
Ancaman	NETWORK_CONNECTION
Pemfilteran URL	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Log pengiriman WildFire adalah subtipe dari jenis log Ancaman dan menggunakan format syslog yang sama.
Pemfilteran Data	NETWORK_CONNECTION
Terowongan	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Konfigurasi	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED Nilai kolom "Command (cmd)" menentukan pemetaan jenis peristiwa UDM. Jika nilai kolom cmd adalah add atau clone, SETTING_CREATION akan disetel. Jika nilai kolom cmd adalah delete, SETTING_DELETION akan disetel. Jika nilai kolom cmd adalah edit, move, rename, set, atau commit, SETTING_MODIFICATION akan ditetapkan. Jika nilai kolom cmd tidak berisi nilai apa pun, SETTING_UNCATEGORIZED akan ditetapkan.
Sistem	Jika nilai subjenis adalah "dhcp", maka NETWORK_DHCP akan disetel. Jika nilai subjenis adalah "auth", USER_LOGIN akan disetel. Jika nilai deskripsi adalah "logged in", maka USER_LOGIN akan ditetapkan. Jika nilai deskripsi adalah "logged out", maka USER_LOGOUT akan disetel. Untuk nilai subtype lainnya, GENERIC_EVENT ditetapkan.
Pencocokan HIP	NETWORK_CONNECTION
Tag IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Jika nilai subjenis adalah "login", USER_LOGIN akan disetel. Jika nilai subjenis adalah "logout", USER_LOGOUT akan disetel. Jika subtipe tidak berisi nilai apa pun, USER_UNCATEGORIZED akan ditetapkan.
Dekripsi	NETWORK_CONNECTION
Authentication	GENERIC_EVENT
SCTP	NETWORK_CONNECTION
Audit	GENERIC_EVENT

Delta Pemetaan UDM

Referensi Perbedaan Pemetaan UDM: Firewall Palo Alto Networks

Tabel berikut mencantumkan perbedaan antara Pemetaan UDM Lama Palo Alto Networks Firewall dan Pemetaan UDM Baru Palo Alto Networks Firewall.

Palo Alto Networks Firewall Strata Logging Service

Ringkasan

Strata Logging Service dari Palo Alto Networks® menyediakan penyimpanan dan penggabungan log terpusat berbasis cloud untuk firewall lokal, virtual (cloud pribadi dan cloud publik), untuk Prisma Access, dan untuk layanan yang disediakan cloud seperti Cortex XDR.Strata Logging Service aman, tangguh, dan toleran terhadap kesalahan, serta memastikan data logging Anda selalu terbaru dan tersedia saat Anda membutuhkannya. Layanan ini menyediakan infrastruktur logging yang skalabel sehingga Anda tidak perlu merencanakan dan men-deploy Pengumpul Log untuk memenuhi kebutuhan retensi log Anda. Jika Anda sudah memiliki Pengumpul Log on-premise, Strata Logging Service baru dapat melengkapi penyiapan yang ada. Anda dapat meningkatkan infrastruktur pengumpulan log yang ada dengan Strata Logging Service berbasis cloud untuk memperluas kapasitas operasional seiring pertumbuhan bisnis Anda, atau untuk memenuhi kebutuhan kapasitas lokasi baru.Dengan layanan ini, Palo Alto Networks menangani pemeliharaan dan pemantauan infrastruktur logging yang berkelanjutan sehingga Anda dapat berfokus pada bisnis Anda.

• Verifikasi format log dan versi PAN-OS yang didukung oleh parser Strata Logging Service. Tabel berikut mencantumkan format log dan versi PAN-OS yang sesuai yang didukung oleh parser Strata Logging Service:

  Format log	Versi PAN-OS
  JSON	12.1

• Verifikasi jenis log firewall Palo Alto Networks yang didukung oleh parser Google SecOps. Parser Google SecOps mendukung jenis log firewall Palo Alto Networks berikut:

  • Traffic
  • Ancaman
  • Pemeriksaan terowongan
  • Sistem
  • Pencocokan HIP
  • IP-Tag
  • User-ID
  • Dekripsi
  • Autentikasi
  • Pemfilteran URL
  • GlobalProtect

Deployment Layanan Logging Strata

• Pastikan produk firewall Palo Alto Networks di-deploy dan dikonfigurasi dengan benar. Untuk petunjuk penyiapan mendetail, lihat Dokumentasi PAN-OS, lalu ikuti dokumen deployment ini sebelum mengirim log ke layanan logging strata Prasyarat Deployment Strata Logging Service

Mulai Mengirim Log ke Strata Logging Service:

Untuk Mulai Mengirim Log ke Strata Logging Service, ikuti langkah-langkah berikut:

1. Menginstal versi PAN-OS® yang didukung
2. Aktifkan Strata Logging Service- Mengaktifkan Strata Logging Service mencakup penyediaan sertifikat yang diperlukan firewall untuk terhubung secara aman ke Strata Logging Service.
3. Mengaktifkan firewall ke Strata Logging Service dengan atau tanpa Panorama

Untuk mengetahui langkah-langkah aktivasi yang mendetail, lihat Dokumentasi.

Meneruskan Log dari Strata Logging Service

Untuk memenuhi kebutuhan penyimpanan, pelaporan, dan pemantauan jangka panjang, atau kebutuhan hukum dan kepatuhan, Anda dapat mengonfigurasi Strata Logging Service untuk meneruskan log ke server HTTPS atau ke SIEM berikut:

1. Exabeam
2. Google Chronicle
3. Microsoft Sentinel
4. Splunk HTTP Event Collector (HEC)

Gunakan metode penerusan HTTPS untuk meneruskan log menggunakan Strata Logging Service. Untuk informasi mendetail, baca Dokumentasi ini.

Format log yang didukung

Parser firewall Palo Alto Networks Strata Logging Service mendukung log dalam format JSON.

Contoh log yang didukung

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

Referensi pemetaan kolom: Kolom log ke kolom UDM

Bagian ini menjelaskan cara parser memetakan kolom log firewall Palo Alto Networks Strata Logging Service ke kolom peristiwa Google UDM untuk setiap jenis log.

Lihat bagian berikut untuk referensi pemetaan setiap jenis log:

• Sistem
• Ancaman
• Traffic
• ID Pengguna
• Pencocokan HIP
• Tag IP
• Dekripsi
• Tunnel
• Authentication
• URL
• GlobalProtect
• SCTP
• Audit

Sistem

Tabel berikut mencantumkan kolom log jenis log Sistem dan kolom UDM yang sesuai.

Ancaman

Tabel berikut mencantumkan kolom log jenis log Ancaman dan kolom UDM yang sesuai.

Traffic

Tabel berikut mencantumkan kolom log jenis Log traffic dan kolom UDM yang sesuai.

User-ID

Tabel berikut mencantumkan kolom log jenis log User-ID dan kolom UDM yang sesuai.

Pencocokan HIP

Tabel berikut mencantumkan kolom log jenis log kecocokan HIP dan kolom UDM yang sesuai.

Tag IP

Tabel berikut mencantumkan kolom log jenis log tag IP dan kolom UDM yang sesuai.

Dekripsi

Tabel berikut mencantumkan kolom log jenis log Dekripsi dan kolom UDM yang sesuai.

Terowongan

Tabel berikut mencantumkan kolom log jenis log Tunnel dan kolom UDM yang sesuai.

Autentikasi

Tabel berikut mencantumkan kolom log jenis log Autentikasi dan kolom UDM yang sesuai.

URL

Tabel berikut mencantumkan kolom log jenis log URL dan kolom UDM yang sesuai.

GlobalProtect

Tabel berikut mencantumkan kolom log jenis log GlobalProtect dan kolom UDM yang sesuai.

SCTP

Tabel berikut mencantumkan kolom log jenis log SCTP dan kolom UDM yang sesuai.

Audit

Tabel berikut mencantumkan kolom log jenis Log audit dan kolom UDM yang sesuai.

Referensi pemetaan kolom: Jenis log ke jenis peristiwa UDM

Tabel berikut mencantumkan jenis log firewall Palo Alto Networks Strata Logging Service dan jenis peristiwa UDM yang sesuai.

Jenis log	Jenis peristiwa UDM
Traffic	NETWORK_CONNECTION
Ancaman	NETWORK_CONNECTION
Pemfilteran URL	NETWORK_CONNECTION
Terowongan	NETWORK_CONNECTION
Sistem	Jika nilai subjenis adalah "dhcp", maka NETWORK_DHCP akan disetel. Jika nilai subjenis adalah "auth", USER_LOGIN akan disetel. Jika nilai deskripsi adalah "logged in", maka USER_LOGIN akan ditetapkan. Jika nilai deskripsi adalah "logged out", maka USER_LOGOUT akan disetel. Untuk nilai subtype lainnya, GENERIC_EVENT ditetapkan.
Pencocokan HIP	NETWORK_CONNECTION
Tag IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Jika nilai subjenis adalah "login", USER_LOGIN akan disetel. Jika nilai subjenis adalah "logout", USER_LOGOUT akan disetel. Jika subtipe tidak berisi nilai apa pun, USER_UNCATEGORIZED akan ditetapkan.
Dekripsi	NETWORK_CONNECTION
Authentication	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS Jika nilai subjenis adalah "auth", maka USER_LOGIN akan disetel. Jika nilai subjenis adalah "logout", USER_LOGOUT akan disetel. Jika subtype tidak berisi nilai apa pun, USER_RESOURCE_ACCESS akan ditetapkan.
SCTP	NETWORK_CONNECTION
Audit	NETWORK_CONNECTION

Langkah berikutnya

• Penyerapan data ke Google SecOps

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.