Palo Alto Networks ファイアウォール ログを収集する

Palo Alto Networks Firewall

概要

このドキュメントでは、syslog と Google SecOps フォワーダーを構成して Palo Alto Networks ファイアウォール ログを収集する方法について説明します。また、このドキュメントでは、Palo Alto Networks ファイアウォール ログフィールドが Google SecOps Unified Data Model（UDM）フィールドにどのようにマッピングするかについても説明します。Google SecOps へのデータ取り込みの概要については、Google SecOps へのデータの取り込みをご覧ください。取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、PAN_FIREWALL 取り込みラベルが付加されたパーサーに適用されます。

始める前に

• Palo Alto Networks ファイアウォール製品が適切にデプロイされ、構成されていることを確認します。設定手順の詳細については、PAN-OS のドキュメントをご覧ください。

• Palo Alto Networks ファイアウォール ログを収集するためにデプロイされたコンポーネントについて、デプロイ アーキテクチャを確認します。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。次の図は、Palo Alto Networks ファイアウォールで syslog を構成し、Linux サーバーに Google SecOps フォワーダーをインストールして、ログデータを Google SecOps に転送する方法を示しています。パーサーは、カンマ区切り値（CSV）、Common Event Format（CEF）、Log Event Extended Format（LEEF）のデータ形式で書き込まれたログをサポートしています。

  

• Google SecOps パーサーがサポートするログ形式と PAN-OS バージョンを確認します。次の表に、Google SecOps パーサーがサポートするログ形式と対応する PAN-OS バージョンを示します。

  ログ形式	PAN-OS バージョン
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• Google SecOps パーサーがサポートする Palo Alto Networks ファイアウォール ログタイプを確認します。Google SecOps パーサーは、次の Palo Alto Networks ファイアウォール ログタイプをサポートしています。

  • トラフィック
  • 脅威
  • Wildfire の送信
  • トンネルの点検
  • 構成
  • システム
  • HIP 一致
  • IP-Tag
  • User-ID
  • 復号
  • 認証
  • URL のフィルタリング
  • データのフィルタリング
  • GlobalProtect
  • 相関
  • GTP
  • SCTP
  • 監査

  Palo Alto Networks ファイアウォール ログタイプの詳細については、PAN-OS ログタイプをご覧ください。

• デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。

• Palo Alto Networks ファイアウォール パーサーを使用する前に、以前のパーサーと現在の Palo Alto Networks ファイアウォール パーサーにおけるフィールド マッピングの変更を確認してください。 移行の一環として、ルール、検索、ダッシュボード、元のフィールドに依存するその他のプロセスで、更新されたフィールドが使用されることを確認します。

  たとえば、以前のパーサー バージョンでは、category ログフィールドは security_result.description UDM フィールドにマッピングされます。現在の Palo Alto Networks ファイアウォール パーサーでは、category ログフィールドは security_result.category_details UDM フィールドにマッピングされます。現在の Palo Alto Networks ファイアウォール パーサーに移行して、ルールで category フィールドを使用する場合は、現在のパーサーの security_result.category_details UDM フィールドを使用するようにルールを変更する必要があります。

syslog と Google Security Operations フォワーダーを構成する

syslog と Google SecOps フォワーダーを構成するには、次の手順を行います。

1. CSV ログをモニタリングするには、Syslog サーバー プロファイルを構成します。詳細については、Syslog サーバー プロファイルを構成するをご覧ください。Syslog サーバー プロファイルを構成するときに、カスタム ログ形式として「Default」を指定します。
2. CEF ログをモニタリングするには、CEF ログを転送するように Palo Alto Networks ファイアウォールを構成します。詳細については、PAN-OS CEF 統合ガイドの PDF をダウンロードし、「Configuration of Palo Alto Networks NGFW to output CEF events」セクションをご覧ください。
3. LEEF ログをモニタリングするには、Syslog サーバー プロファイルを構成します。詳細については、LEEF 形式のカスタムログ転送をご覧ください。

4. Google Security Operations にログを送信するように Google SecOps フォワーダーを構成します。詳細については、Linux でのフォワーダーのインストールと構成をご覧ください。Google SecOps フォワーダーの構成の例を次に示します。

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

PAN Firewall で syslog 転送を構成する

syslog サーバー プロファイルを作成する

1. Palo Alto Networks ファイアウォール管理コンソールにログインします。
2. [Device] > [Server Profiles] > [Syslog] に移動します。
3. [追加] をクリックして、新しいサーバー プロファイルを作成します。
4. 次の構成の詳細を入力します。
   • 名前: わかりやすい名前を入力します（例: Google SecOps BindPlane）。
   • 場所: このプロファイルを使用できる仮想システム（vsys）または [共有] を選択します。
5. [Servers] > [Add] をクリックして、syslog サーバーを構成します。
6. 次のサーバー構成の詳細を入力します。
   • 名前: サーバーのわかりやすい名前を入力します（例: BindPlane Agent）。
   • Syslog サーバー: BindPlane Agent の IP アドレスを入力します。
   • トランスポート: BindPlane Agent の構成に応じて、[UDP] または [TCP] を選択します（デフォルトは UDP）。
   • ポート: BindPlane Agent のポート番号（例: 514）を入力します。
   • 形式: 要件に応じて、[BSD]（デフォルト）または [IETF] を選択します。
   • ファシリティ: 必要に応じて、LOG_USER（デフォルト）または別のファシリティを選択します。
7. [OK] をクリックして、Syslog サーバー プロファイルを保存します。

省略可: CEF または LEEF のカスタム ログ形式を構成する

CSV ではなく CEF（Common Event Format）または LEEF（Log Event Extended Format）のログが必要な場合:

1. Syslog サーバー プロファイルで、[カスタムログ形式] タブを選択します。
2. 各ログタイプ（Config、System、Threat、Traffic、URL、Data、WildFire、Tunnel、Authentication、User-ID、HIP Match）のカスタム ログ形式を構成します。
3. CEF 形式の構成については、Palo Alto Networks CEF 構成ガイドをご覧ください。
4. [OK] をクリックして構成を保存します。

ログ転送プロファイルを作成する

1. [オブジェクト] > [ログ転送] に移動します。
2. [追加] をクリックして、新しいログ転送プロファイルを作成します。
3. 次の構成の詳細を入力します。
   • 名前: プロファイル名（Google SecOps Forwarding など）を入力します。ファイアウォールでこのプロファイルが新しいセキュリティ ルールとゾーンに自動的に割り当てられるようにするには、default という名前を付けます。
4. 転送するログタイプ（Traffic、Threat、WildFire Submission、URL Filtering、Data Filtering、Tunnel、Authentication）ごとに、次の項目を構成します。
   • それぞれのログタイプのセクションで [追加] をクリックします。
   • Syslog: 作成した syslog サーバー プロファイル（例: Google SecOps BindPlane）を選択します。
   • ログの重大度: 転送する重大度レベルを選択します（例: すべて）。
5. [OK] をクリックして、ログ転送プロファイルを保存します。

ログ転送プロファイルをセキュリティ ポリシーに適用する

1. [ポリシー] > [セキュリティ] に移動します。
2. ログ転送を有効にするセキュリティ ルールを選択します。
3. ルールをクリックして編集します。
4. [アクション] タブに移動します。
5. [ログ転送] メニューで、作成したログ転送プロファイル（Google SecOps Forwarding など）を選択します。
6. [OK] をクリックして、セキュリティ ポリシーの構成を保存します。

システムログのログ設定を構成する

1. [Device] > [Log Settings] に移動します。
2. ログタイプ（システム、構成、User-ID、HIP Match、Global Protect、IP-Tag、SCTP）と重大度レベルごとに、作成した Syslog サーバー プロファイルを選択します。
3. [OK] をクリックして、ログ設定を保存します。

変更を commit する

1. ファイアウォール ウェブ インターフェースの上部にある [Commit] をクリックします。
2. コミットが正常に完了するまで待ちます。
3. Google SecOps コンソールで受信した Palo Alto Networks ファイアウォール ログを確認して、ログが Bindplane エージェントに送信されていることを確認します。

Bindplane エージェントを使用してログを Google SecOps に転送する

1. Linux 仮想マシンをインストールして設定します。
2. Linux に Bindplane エージェントをインストールして構成し、ログを Google SecOps に転送します。Bindplane エージェントのインストールと構成の方法の詳細については、Bindplane エージェントのインストールと構成の手順をご覧ください。

フィードの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。

サポートされているログ形式

Palo Alto Networks ファイアウォール パーサーは、LEEF、CEF、CSV 形式のログをサポートしています。

サポートされているサンプルログ

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

フィールド マッピング リファレンス: ログフィールドから UDM フィールド

このセクションでは、パーサーが Palo Alto Networks ファイアウォール ログフィールドをログタイプごとに Google SecOps UDM イベント フィールドにマッピングする方法について説明します。Google SecOps ラベルキーは、Labels.key UDM フィールドにマッピングされたキーの名前を参照します。

たとえば、[Virtual System] フィールドの場合、CEF 形式ではフィールド名は「cs3」で、LEEF 形式では「VirtualSystem」です。UDM フィールド「about.labels.key」に値「vsys」が含まれ、UDM フィールド「about.labels.value」にそのフィールドの値が含まれています。CEF または LEEF のフィールド名の中には、CSV フィールド名に対応する名前がないものもあります。このような場合、Syslog プロファイルにカスタムログ形式で独自の変数名を追加しても、パーサーはそれを UDM フィールドにマッピングしません。

各ログタイプのマッピング リファレンスについては、以下のセクションをご覧ください。

• システム
• 構成
• 脅威/wildfire
• トラフィック
• ユーザー ID
• HIP 一致
• IP タグ
• 復号
• トンネル
• Authentication
• URL
• データ
• GlobalProtect
• 相関
• GTP
• SCTP
• 監査

システム

次の表に、システムログタイプのログ フィールドと、対応する UDM フィールドを示します。

構成

次の表に、設定ログタイプのログ フィールドと、対応する UDM フィールドを示します。

脅威/wildfire

次の表に、ログタイプのログフィールドと、対応する UDM フィールドを示します。

トラフィック

次の表に、ログタイプのログ フィールドと、対応する UDM フィールドを示します。

User-ID

次の表に、ユーザー ID ログタイプのログ フィールドと、対応する UDM フィールドを示します。

HIP 一致

次の表に、HIP 一致ログタイプのログ フィールドと、対応する UDM フィールドを示します。

IP タグ

次の表に、IP タグログタイプのログ フィールドと、対応する UDM フィールドを示します。

復号

次の表に、復号ログタイプのログ フィールドと、対応する UDM フィールドを示します。

トンネル

次の表に、トンネルログタイプのログ フィールドと、対応する UDM フィールドを示します。

認証

次の表に、認証ログタイプのログ フィールドと、対応する UDM フィールドを示します。

URL

次の表に、URL ログタイプのログ フィールドと、対応する UDM フィールドを示します。

データ

次の表に、データ ログタイプのログ フィールドと、対応する UDM フィールドを示します。

GlobalProtect

次の表に、GlobalProtect ログタイプのログ フィールドと、対応する UDM フィールドを示します。

相関

次の表に、修正ログタイプのログ フィールドと、対応する UDM フィールドを示します。

GTP

次の表に、gtp ログタイプのログ フィールドと、対応する UDM フィールドを示します。

SCTP

監査

フィールド マッピング リファレンス: ログタイプから UDM イベントタイプ

次の表に、Palo Alto Networks ファイアウォールのログタイプと、それぞれに対応する UDM イベントタイプを示します。

ログタイプ	UDM イベントタイプ
トラフィック	NETWORK_CONNECTION
脅威	NETWORK_CONNECTION
URL のフィルタリング	NETWORK_CONNECTION
Wildfire	NETWORK_CONNECTION WildFire 送信ログは、脅威ログタイプのサブタイプであり、同じ syslog 形式を使用します。
データのフィルタリング	NETWORK_CONNECTION
トンネル	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Config	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED [Command (cmd)] フィールドの値によって、UDM イベントタイプのマッピングが決まります。 cmd フィールドの値が add または clone の場合、SETTING_CREATION が設定されます。 cmd フィールドの値が delete の場合、SETTING_DELETION が設定されます。 cmd フィールドの値が edit、move、rename、set、または commit の場合、SETTING_MODIFICATION が設定されます。 cmd フィールドの値に値が含まれていない場合は、SETTING_UNCATEGORIZED が設定されます。
システム	サブタイプの値が「dhcp」の場合、NETWORK_DHCP が設定されます。 サブタイプの値が「auth」の場合、USER_LOGIN が設定されます。 説明の値が「logged in」の場合、USER_LOGIN が設定されます。 説明の値が「logged out」の場合、USER_LOGOUT が設定されます。 サブタイプのその他の値には、GENERIC_EVENT が設定されます。
HIP Match	NETWORK_CONNECTION
IP タグ	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED サブタイプの値が「login」の場合、USER_LOGIN が設定されます。 サブタイプの値が「logout」の場合、USER_LOGOUT が設定されます。 サブタイプに値が含まれていない場合は、USER_UNCATEGORIZED が設定されます。
復号	NETWORK_CONNECTION
Authentication	GENERIC_EVENT
SCTP	NETWORK_CONNECTION
監査	GENERIC_EVENT

UDM マッピングの差分

UDM マッピングの差分リファレンス: Palo Alto Networks Firewall

次の表に、Palo Alto Networks Firewall の古い UDM マッピングと Palo Alto Networks Firewall の新しい UDM マッピングの差分を示します。

Palo Alto Networks Firewall Strata Logging Service

概要

Palo Alto Networks® Strata Logging Service は、オンプレミス、仮想（プライベート クラウドとパブリック クラウド）ファイアウォール、Prisma Access、Cortex XDR などのクラウド配信サービス向けに、クラウドベースの一元化されたログ ストレージと集約を提供します。Strata Logging Service は安全で、復元力と耐障害性に優れており、ログデータが最新の状態に保たれ、必要なときに利用できるようにします。スケーラブルなロギング インフラストラクチャが提供されるため、ログ保持のニーズを満たすためにログコレクタを計画してデプロイする必要がなくなります。オンプレミスに Log Collector がすでに存在する場合、新しい Strata Logging Service は既存の設定を補完できます。クラウドベースの Strata Logging Service を使用して既存のログ収集インフラストラクチャを拡張し、ビジネスの成長に合わせて運用容量を拡大したり、新しい拠点の容量ニーズを満たしたりできます。このサービスにより、Palo Alto Networks がロギング インフラストラクチャの継続的なメンテナンスとモニタリングを行うため、お客様はビジネスに集中できます。

• Strata Logging Service パーサーがサポートするログ形式と PAN-OS バージョンを確認します。次の表に、Strata Logging Service パーサーがサポートするログ形式と対応する PAN-OS バージョンを示します。

  ログ形式	PAN-OS バージョン
  JSON	12.1

• Google SecOps パーサーがサポートする Palo Alto Networks ファイアウォール ログタイプを確認します。Google SecOps パーサーは、次の Palo Alto Networks ファイアウォール ログタイプをサポートしています。

  • トラフィック
  • 脅威
  • トンネルの点検
  • システム
  • HIP 一致
  • IP-Tag
  • User-ID
  • 復号
  • 認証
  • URL のフィルタリング
  • GlobalProtect

Strata Logging Service のデプロイ

• Palo Alto Networks ファイアウォール製品が適切にデプロイされ、構成されていることを確認します。詳細な設定手順については、PAN-OS のドキュメントを参照し、このドキュメントのデプロイの手順に沿って、ログを Strata Logging Service に送信する前に Strata Logging Service のデプロイの前提条件を確認してください。

Strata Logging Service へのログの送信を開始します。

Strata Logging Service にログの送信を開始する手順は次のとおりです。

1. サポートされている PAN-OS® バージョンをインストールする
2. Strata Logging Service を有効にする - Strata Logging Service を有効にすると、ファイアウォールが Strata Logging Service に安全に接続するために必要な証明書がプロビジョニングされます。
3. Panorama の有無にかかわらず、ファイアウォールを Strata Logging Service にオンボーディングする

オンボーディングの詳細な手順については、ドキュメントをご覧ください。

Strata Logging Service からログを転送する

長期保存、レポート作成とモニタリング、法規制とコンプライアンスのニーズを満たすために、Strata Logging Service を構成して、ログを HTTPS サーバーまたは次の SIEM に転送できます。

1. Exabeam
2. Google Chronicle
3. Microsoft Sentinel
4. Splunk HTTP Event Collector（HEC）

HTTPS 転送メソッドを使用して、Strata Logging Service でログを転送します。詳細については、こちらのドキュメントをご覧ください。

サポートされているログ形式

Palo Alto Networks Strata Logging Service ファイアウォール パーサーは、JSON 形式のログをサポートしています。

サポートされているサンプルログ

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

フィールド マッピング リファレンス: ログフィールドから UDM フィールド

このセクションでは、パーサーが Palo Alto Networks Strata Logging Service ファイアウォール ログフィールドをログタイプごとに Google UDM イベント フィールドにマッピングする方法について説明します。

各ログタイプのマッピング リファレンスについては、以下のセクションをご覧ください。

• システム
• 脅迫
• トラフィック
• ユーザー ID
• HIP 一致
• IP タグ
• 復号
• トンネル
• Authentication
• URL
• GlobalProtect
• SCTP
• 監査

システム

次の表に、システムログタイプのログ フィールドと、対応する UDM フィールドを示します。

脅威

次の表に、脅威ログタイプのログ フィールドと、対応する UDM フィールドを示します。

トラフィック

次の表に、トラフィック ログタイプのログ フィールドと、対応する UDM フィールドを示します。

User-ID

次の表に、User-Id ログタイプのログ フィールドと、対応する UDM フィールドを示します。

HIP 一致

次の表に、HIP 一致ログタイプのログ フィールドと、対応する UDM フィールドを示します。

IP タグ

次の表に、IP タグログタイプのログ フィールドと、対応する UDM フィールドを示します。

復号

次の表に、復号ログタイプのログ フィールドと、対応する UDM フィールドを示します。

トンネル

次の表に、トンネルログタイプのログ フィールドと、対応する UDM フィールドを示します。

認証

次の表に、認証ログタイプのログ フィールドと、対応する UDM フィールドを示します。

URL

次の表に、URL ログタイプのログ フィールドと、対応する UDM フィールドを示します。

GlobalProtect

次の表に、GlobalProtect ログタイプのログ フィールドと、対応する UDM フィールドを示します。

SCTP

次の表に、SCTP ログタイプのログ フィールドと、対応する UDM フィールドを示します。

監査

次の表に、監査ログタイプのログ フィールドと、対応する UDM フィールドを示します。

フィールド マッピング リファレンス: ログタイプから UDM イベントタイプ

次の表に、Palo Alto Networks Strata Logging Service ファイアウォールのログタイプと、それぞれに対応する UDM イベントタイプを示します。

ログタイプ	UDM イベントタイプ
トラフィック	NETWORK_CONNECTION
脅威	NETWORK_CONNECTION
URL のフィルタリング	NETWORK_CONNECTION
トンネル	NETWORK_CONNECTION
システム	サブタイプの値が「dhcp」の場合、NETWORK_DHCP が設定されます。 サブタイプの値が「auth」の場合、USER_LOGIN が設定されます。 説明の値が「logged in」の場合、USER_LOGIN が設定されます。 説明の値が「logged out」の場合、USER_LOGOUT が設定されます。 サブタイプのその他の値には、GENERIC_EVENT が設定されます。
HIP Match	NETWORK_CONNECTION
IP タグ	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED サブタイプの値が「login」の場合、USER_LOGIN が設定されます。 サブタイプの値が「logout」の場合、USER_LOGOUT が設定されます。 サブタイプに値が含まれていない場合は、USER_UNCATEGORIZED が設定されます。
復号	NETWORK_CONNECTION
Authentication	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS サブタイプの値が「auth」の場合、USER_LOGIN が設定されます。 サブタイプの値が「logout」の場合、USER_LOGOUT が設定されます。 サブタイプに値が含まれていない場合、USER_RESOURCE_ACCESS が設定されます。
SCTP	NETWORK_CONNECTION
監査	NETWORK_CONNECTION

次のステップ

• Google SecOps へのデータ取り込み

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。