Recolha registos de firewall da Palo Alto Networks

Firewall da Palo Alto Networks

Vista geral

Este documento descreve como pode configurar o syslog e um encaminhador do Google SecOps para recolher registos da firewall da Palo Alto Networks. Este documento também explica como os campos de registo da firewall da Palo Alto Networks são mapeados para os campos do modelo de dados unificado (UDM) do Google SecOps. Para uma vista geral sobre a ingestão de dados do Google SecOps, consulte o artigo Ingestão de dados no Google SecOps. Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento PAN_FIREWALL.

Antes de começar

• Certifique-se de que o produto de firewall da Palo Alto Networks está implementado e configurado corretamente. Para ver instruções de configuração detalhadas, consulte a documentação do PAN-OS.

• Para compreender os componentes implementados para recolher registos da firewall da Palo Alto Networks, reveja a arquitetura de implementação. Cada implementação do cliente pode diferir desta representação e pode ser mais complexa. O diagrama seguinte mostra como pode configurar o syslog numa firewall da Palo Alto Networks e instalar um encaminhador do Google SecOps num servidor Linux para encaminhar dados de registo para o Google SecOps. O analisador suporta registos escritos nos seguintes formatos de dados: valores separados por vírgulas (CSV), formato de evento comum (CEF) e formato de evento de registo alargado (LEEF).

  

• Verifique os formatos de registo e as versões do PAN-OS suportados pelo analisador do Google SecOps. A tabela seguinte indica os formatos de registo e as versões do PAN-OS correspondentes suportadas pelo analisador do Google SecOps:

  Formato do registo	Versão do PAN-OS
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• Valide os tipos de registos da firewall da Palo Alto Networks que o analisador do Google SecOps suporta. O analisador do Google SecOps suporta os seguintes tipos de registos de firewall da Palo Alto Networks:

  • Trânsito
  • Ameaça
  • Envios do WildFire
  • Inspeção de túneis
  • Configuração
  • Sistema
  • Correspondência de HIP
  • IP-Tag
  • User-ID
  • Desencriptação
  • Autenticação
  • Filtragem de URLs
  • Filtragem de dados
  • GlobalProtect
  • Correlação
  • GTP
  • SCTP
  • Auditoria

  Para mais informações sobre os tipos de registos da firewall da Palo Alto Networks, consulte Tipos de registos do PAN-OS.

• Certifique-se de que todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.

• Antes de usar o analisador do firewall da Palo Alto Networks, reveja as alterações nas associações de campos entre o analisador anterior e o analisador do firewall da Palo Alto Networks atual. Como parte da migração, certifique-se de que as regras, as pesquisas, os painéis de controlo ou outros processos que dependem dos campos originais usam os campos atualizados.

  Por exemplo, na versão anterior do analisador, o campo de registo category é mapeado para o campo UDM security_result.description. No analisador do firewall da Palo Alto Networks atual, o campo de registo category é mapeado para o campo UDM security_result.category_details. Se migrar para o analisador de firewall da Palo Alto Networks atual e usar o campo category nas suas regras, tem de modificar as regras para usar o campo security_result.category_details UDM do analisador atual.

Configure o syslog e o encaminhador do Google Security Operations

Para configurar o syslog e o encaminhador do Google SecOps, conclua os seguintes passos:

1. Para monitorizar registos CSV, configure o perfil do servidor syslog. Para mais informações, consulte o artigo Configure o perfil do servidor syslog. Quando configurar o perfil do servidor syslog, especifique "Predefinição" como o formato de registo personalizado.
2. Para monitorizar registos CEF, configure a firewall da Palo Alto Networks para encaminhar registos CEF. Para mais informações, transfira o PDF do guia de integração de CEF do PAN-OS e consulte a secção "Configuração do NGFW da Palo Alto Networks para gerar eventos CEF".
3. Para monitorizar registos LEEF, configure o perfil do servidor syslog. Para mais informações, consulte o artigo Encaminhamento de registos personalizados no formato LEEF.

4. Configure o encaminhador do Google SecOps para enviar registos para o Google Security Operations. Para mais informações, consulte o artigo Instalar e configurar o encaminhador no Linux. Segue-se um exemplo de uma configuração de encaminhador do Google SecOps:

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

Configure o encaminhamento de syslog na firewall da PAN

Crie um perfil de servidor syslog

1. Inicie sessão na consola de gestão da firewall da Palo Alto Networks.
2. Aceda a Dispositivo > Perfis do servidor > Syslog.
3. Clique em Adicionar para criar um novo perfil de servidor.
4. Forneça os seguintes detalhes de configuração:
   • Nome: introduza um nome descritivo (por exemplo, Google SecOps BindPlane).
   • Localização: selecione o sistema virtual (vsys) ou Partilhado onde este perfil vai estar disponível.
5. Clique em Servidores > Adicionar para configurar o servidor syslog.
6. Indique os seguintes detalhes de configuração do servidor:
   • Nome: introduza um nome descritivo para o servidor (por exemplo, BindPlane Agent).
   • Servidor Syslog: introduza o endereço IP do agente BindPlane.
   • Transporte: selecione UDP ou TCP, consoante a configuração do agente BindPlane (UDP é a predefinição).
   • Porta: introduza o número da porta do agente BindPlane (por exemplo, 514).
   • Formato: selecione BSD (predefinição) ou IETF, consoante os seus requisitos.
   • Facility: selecione LOG_USER (predefinição) ou outra funcionalidade, conforme necessário.
7. Clique em OK para guardar o perfil do servidor syslog.

Opcional: configure o formato de registo personalizado para CEF ou LEEF

Se precisar de registos CEF (Common Event Format) ou LEEF (Log Event Extended Format) em vez de CSV:

1. No perfil do servidor Syslog, selecione o separador Formato de registo personalizado.
2. Configure o formato de registo personalizado para cada tipo de registo (Config, System, Threat, Traffic, URL, Data, WildFire, Tunnel, Authentication, User-ID, HIP Match).
3. Para a configuração do formato CEF, consulte o guia de configuração do CEF da Palo Alto Networks.
4. Clique em OK para guardar a configuração.

Crie um perfil de encaminhamento de registos

1. Aceda a Objetos > Encaminhamento de registos.
2. Clique em Adicionar para criar um novo perfil de encaminhamento de registos.
3. Forneça os seguintes detalhes de configuração:
   • Nome: introduza um nome de perfil (por exemplo, Google SecOps Forwarding). Se quiser que a firewall atribua automaticamente este perfil a novas regras e zonas de segurança, atribua-lhe o nome default.
4. Para cada tipo de registo que quer encaminhar (Tráfego, Ameaça, Envio do WildFire, Filtragem de URLs, Filtragem de dados, Túnel, Autenticação), configure o seguinte:
   • Clique em Adicionar na secção do tipo de registo respetiva.
   • Syslog: selecione o perfil do servidor syslog que criou (por exemplo, Google SecOps BindPlane).
   • Gravidade do registo: selecione os níveis de gravidade a encaminhar (por exemplo, Tudo).
5. Clique em OK para guardar o perfil de encaminhamento de registos.

Aplique o perfil de encaminhamento de registos às políticas de segurança

1. Aceda a Políticas > Segurança.
2. Selecione as regras de segurança para as quais quer ativar o encaminhamento de registos.
3. Clique na regra para a editar.
4. Aceda ao separador Ações.
5. No menu Encaminhamento de registos, selecione o perfil de encaminhamento de registos que criou (por exemplo, Google SecOps Forwarding).
6. Clique em OK para guardar a configuração da política de segurança.

Configure as definições de registo para registos do sistema

1. Aceda a Dispositivo > Definições de registo.
2. Para cada tipo de registo (Sistema, Configuração, ID do utilizador, HIP Match, Global Protect, IP-Tag, SCTP) e nível de gravidade, selecione o perfil do servidor Syslog que criou.
3. Clique em OK para guardar as definições de registo.

Confirme as alterações

1. Clique em Confirmar na parte superior da interface Web da firewall.
2. Aguarde até que a confirmação seja concluída com êxito.
3. Verifique se os registos estão a ser enviados para o agente do Bindplane verificando se existem registos de firewall da Palo Alto Networks na consola do Google SecOps.

Encaminhe registos para o Google SecOps através do agente Bindplane

1. Instale e configure uma máquina virtual Linux.
2. Instale e configure o agente Bindplane no Linux para encaminhar registos para o Google SecOps. Para mais informações sobre como instalar e configurar o agente Bindplane, consulte as instruções de instalação e configuração do agente Bindplane.

Se tiver problemas ao criar feeds, contacte o apoio técnico da Google SecOps.

Formatos de registo suportados

O analisador do firewall da Palo Alto Networks suporta registos nos formatos LEEF,CEF e CSV.

Registos de exemplo suportados

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

Referência de mapeamento de campos: mapeamento de campos de registos para campos de UDM

Esta secção explica como o analisador mapeia os campos de registo da firewall da Palo Alto Networks para os campos de eventos da UDM do Google SecOps para cada tipo de registo. A chave da etiqueta do Google SecOps refere-se ao nome da chave mapeada para o campo UDM Labels.key.

Por exemplo, no caso do campo "Virtual System", o nome do campo é "cs3" no formato CEF e "VirtualSystem" no formato LEEF. O campo UDM "about.labels.key" contém o valor "vsys" e o campo UDM "about.labels.value" contém o valor desse campo. Alguns dos nomes dos campos CEF ou LEEF não têm um nome correspondente aos nomes dos campos CSV. Nestes casos, se adicionar o seu próprio nome de variável no formato de registo personalizado no perfil do syslog, o analisador não o mapeia para o campo UDM.

Consulte as secções seguintes para obter uma referência de mapeamento de cada tipo de registo:

• Sistema
• Config
• Ameaça/incêndio florestal
• Tráfego
• ID do utilizador
• Correspondência de HIP
• Etiqueta de IP
• Desencriptação
• Túnel
• Autenticação
• URL
• Dados
• GlobalProtect
• Correlação
• GTP
• SCTP
• Auditoria

Sistema

A tabela seguinte apresenta os campos de registo do tipo de registo do sistema e os respetivos campos do UDM.

Configuração

A tabela seguinte apresenta os campos de registo do tipo de registo de configuração e os respetivos campos do UDM.

Ameaça/WildFire

A tabela seguinte lista os campos de registo do tipo de registo Threat/WildFire e os respetivos campos da UDM.

Trânsito

A tabela seguinte apresenta os campos de registo do tipo de registo de tráfego e os respetivos campos da UDM.

User-ID

A tabela seguinte lista os campos de registo do tipo de registo user-id e os respetivos campos da UDM.

Correspondência de HIP

A tabela seguinte apresenta os campos de registo do tipo de registo de correspondência de HIP e os respetivos campos de UDM.

Etiqueta de IP

A tabela seguinte apresenta os campos de registo do tipo de registo de etiquetas de IP e os respetivos campos da UDM.

Desencriptação

A tabela seguinte apresenta os campos de registo do tipo de registo de desencriptação e os respetivos campos do UDM.

Túnel

A tabela seguinte apresenta os campos de registo do tipo de registo de túnel e os respetivos campos do UDM.

Autenticação

A tabela seguinte lista os campos de registo do tipo de registo de autenticação e os respetivos campos do UDM.

URL

A tabela seguinte apresenta os campos de registo do tipo de registo de URL e os respetivos campos da UDM.

Dados

A tabela seguinte lista os campos de registo do tipo de registo de dados e os respetivos campos da UDM.

GlobalProtect

A tabela seguinte apresenta os campos de registo do tipo de registo GlobalProtect e os respetivos campos da UDM.

Correlação

A tabela seguinte lista os campos de registo do tipo de registo de correlação e os respetivos campos UDM.

GTP

A tabela seguinte apresenta os campos de registo do tipo de registo gtp e os respetivos campos UDM correspondentes.

SCTP

Auditoria

Referência de mapeamento de campos: tipos de registos para o tipo de evento da UDM

A tabela seguinte apresenta os tipos de registos da firewall da Palo Alto Networks e os respetivos tipos de eventos da UDM.

Tipo de registo	Tipo de evento UDM
Trânsito	NETWORK_CONNECTION
Ameaça	NETWORK_CONNECTION
Filtragem de URLs	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Os registos de envios do WildFire são um subtipo do tipo de registo de ameaças e usam o mesmo formato de syslog.
Filtragem de dados	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Configuração	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED O valor do campo "Comando (cmd)" determina o mapeamento do tipo de evento da UDM. Se o valor do campo cmd for add ou clone, SETTING_CREATION é definido. Se o valor do campo cmd for delete, SETTING_DELETION é definido. Se o valor do campo cmd for edit, move, rename, set ou commit, SETTING_MODIFICATION é definido. Se o valor do campo cmd não contiver valores, é definido SETTING_UNCATEGORIZED
Sistema	Se o valor do subtipo for "dhcp", é definido NETWORK_DHCP. Se o valor do subtipo for "auth", USER_LOGIN é definido. Se o valor da descrição for "logged in", USER_LOGIN é definido. Se o valor da descrição for "logged out", USER_LOGOUT é definido. Para outros valores do subtipo, é definido GENERIC_EVENT.
HIP Match	NETWORK_CONNECTION
Etiqueta de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Se o valor do subtipo for "login", USER_LOGIN é definido. Se o valor do subtipo for "logout", é definido USER_LOGOUT. Se o subtipo não contiver nenhum valor, é definido USER_UNCATEGORIZED.
Desencriptação	NETWORK_CONNECTION
Autenticação	GENERIC_EVENT
SCTP	NETWORK_CONNECTION
Auditoria	GENERIC_EVENT

Delta de mapeamento do UDM

Referência do delta de mapeamento da UDM: firewall da Palo Alto Networks

A tabela seguinte apresenta a diferença entre o mapeamento do UDM antigo de Palo Alto Networks Firewall e o mapeamento do UDM novo de Palo Alto Networks Firewall.

Palo Alto Networks Firewall Strata Logging Service

Vista geral

O Strata Logging Service da Palo Alto Networks® oferece armazenamento e agregação de registos centralizados baseados na nuvem para as suas firewalls no local, virtuais (nuvem privada e nuvem pública), para o Prisma Access e para serviços fornecidos na nuvem, como o Cortex XDR.O Strata Logging Service é seguro, resiliente e tolerante a falhas, e garante que os seus dados de registo estão atualizados e disponíveis quando precisar deles. Fornece uma infraestrutura de registo escalável que alivia a necessidade de planear e implementar coletores de registos para satisfazer as suas necessidades de retenção de registos. Se já tiver coletores de registos no local, o novo serviço de registo do Strata pode complementar a sua configuração existente. Pode aumentar a sua infraestrutura de recolha de registos existente com o serviço de registo Strata baseado na nuvem para expandir a capacidade operacional à medida que a sua empresa cresce ou para satisfazer as necessidades de capacidade de novas localizações.Com este serviço, a Palo Alto Networks cuida da manutenção e monitorização contínuas da infraestrutura de registo para que possa concentrar-se na sua empresa.

• Valide os formatos de registos e as versões do PAN-OS suportados pelo analisador do Strata Logging Service. A tabela seguinte indica os formatos de registo e as versões do PAN-OS correspondentes que o analisador do Strata Logging Service suporta:

  Formato do registo	Versão do PAN-OS
  JSON	12.1

• Valide os tipos de registos da firewall da Palo Alto Networks que o analisador do Google SecOps suporta. O analisador do Google SecOps suporta os seguintes tipos de registos de firewall da Palo Alto Networks:

  • Trânsito
  • Ameaça
  • Inspeção de túneis
  • Sistema
  • Correspondência de HIP
  • IP-Tag
  • User-ID
  • Desencriptação
  • Autenticação
  • Filtragem de URLs
  • GlobalProtect

Implementação do serviço de registo do Strata

• Certifique-se de que o produto de firewall da Palo Alto Networks está implementado e configurado corretamente. Para obter instruções de configuração detalhadas, consulte a documentação do PAN-OS e, em seguida, siga este documento de implementação antes de enviar registos para o serviço de registo do Strata Pré-requisitos de implementação do serviço de registo do Strata

Comece a enviar registos para o serviço de registo do Strata:

Para começar a enviar registos para o serviço de registo do Strata, siga estes passos:

1. Instale uma versão do PAN-OS® suportada
2. Ative o serviço de registo do Strata: a ativação do serviço de registo do Strata inclui o aprovisionamento do certificado de que as firewalls precisam para estabelecer ligação segura ao serviço de registo do Strata.
3. Integre firewalls no serviço de registo do Strata com ou sem o Panorama

Para ver passos de integração detalhados, consulte a documentação.

Encaminhe registos do serviço de registo do Strata

Para satisfazer as suas necessidades de armazenamento, relatórios e monitorização a longo prazo, ou legais e de conformidade, pode configurar o serviço de registo do Strata para encaminhar registos para um servidor HTTPS ou para os seguintes SIEMs:

1. Exabeam
2. Google Chronicle
3. Microsoft Sentinel
4. Coletor de eventos de HTTP (HEC) do Splunk

Use o método de encaminhamento HTTPS para encaminhar os registos através do serviço de registo do Strata. Para obter informações detalhadas, siga esta documentação.

Formatos de registo suportados

O analisador de firewall do serviço de registo do Palo Alto Networks Strata suporta registos no formato JSON.

Registos de exemplo suportados

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

Referência de mapeamento de campos: mapeamento de campos de registos para campos de UDM

Esta secção explica como o analisador mapeia os campos de registo da firewall do Palo Alto Networks Strata Logging Service para os campos de eventos da UDM da Google para cada tipo de registo.

Consulte as secções seguintes para obter uma referência de mapeamento de cada tipo de registo:

• Sistema
• Ameaça
• Tráfego
• ID do utilizador
• Correspondência de HIP
• Etiqueta de IP
• Desencriptação
• Túnel
• Autenticação
• URL
• GlobalProtect
• SCTP
• Auditoria

Sistema

A tabela seguinte lista os campos de registo do tipo de registo do sistema e os respetivos campos da UDM.

Ameaça

A tabela seguinte apresenta os campos de registo do tipo de registo de ameaças e os respetivos campos do UDM.

Trânsito

A tabela seguinte apresenta os campos de registo do tipo de registo de tráfego e os respetivos campos da UDM.

User-ID

A tabela seguinte apresenta os campos de registo do tipo de registo User-ID e os respetivos campos da UDM.

Correspondência de HIP

A tabela seguinte apresenta os campos de registo do tipo de registo de correspondência de HIP e os respetivos campos de UDM.

Etiqueta de IP

A tabela seguinte apresenta os campos de registo do tipo de registo de etiquetas de IP e os respetivos campos da UDM.

Desencriptação

A tabela seguinte lista os campos de registo do tipo de registo de descifragem e os respetivos campos da UDM.

Túnel

A tabela seguinte apresenta os campos de registo do tipo de registo de túnel e os respetivos campos da UDM.

Autenticação

A tabela seguinte lista os campos de registo do tipo de registo de autenticação e os respetivos campos UDM.

URL

A tabela seguinte apresenta os campos de registo do tipo de registo de URL e os respetivos campos da UDM.

GlobalProtect

A tabela seguinte apresenta os campos de registo do tipo de registo GlobalProtect e os respetivos campos da UDM.

SCTP

A tabela seguinte indica os campos de registo do tipo de registo SCTP e os respetivos campos UDM.

Auditoria

A tabela seguinte apresenta os campos de registo do tipo de registo de auditoria e os respetivos campos da UDM.

Referência de mapeamento de campos: tipos de registos para o tipo de evento da UDM

A tabela seguinte indica os tipos de registos de firewall do serviço de registo do Palo Alto Networks Strata e os respetivos tipos de eventos do UDM.

Tipo de registo	Tipo de evento UDM
Trânsito	NETWORK_CONNECTION
Ameaça	NETWORK_CONNECTION
Filtragem de URLs	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
Sistema	Se o valor do subtipo for "dhcp", é definido NETWORK_DHCP. Se o valor do subtipo for "auth", USER_LOGIN é definido. Se o valor da descrição for "logged in", USER_LOGIN é definido. Se o valor da descrição for "logged out", USER_LOGOUT é definido. Para outros valores do subtipo, é definido GENERIC_EVENT.
HIP Match	NETWORK_CONNECTION
Etiqueta de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Se o valor do subtipo for "login", USER_LOGIN é definido. Se o valor do subtipo for "logout", é definido USER_LOGOUT. Se o subtipo não contiver nenhum valor, é definido USER_UNCATEGORIZED.
Desencriptação	NETWORK_CONNECTION
Autenticação	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS Se o valor do subtipo for "auth", USER_LOGIN é definido. Se o valor do subtipo for "logout", é definido USER_LOGOUT. Se o subtipo não contiver nenhum valor, é definido USER_RESOURCE_ACCESS.
SCTP	NETWORK_CONNECTION
Auditoria	NETWORK_CONNECTION

O que se segue?

• Carregamento de dados para o Google SecOps

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.