Palo Alto Networks Traps 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Palo Alto Networks Traps 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 CSV 및 키-값 형식의 로그를 처리하여 UDM으로 변환합니다. grok 및 CSV 파싱을 사용하여 필드를 추출하고, 특정 로그 메시지 또는 필드 값을 기반으로 조건부 로직을 실행하여 UDM 필드에 매핑하며, 상태 업데이트, 네트워크 스캔, 프로세스 생성과 같은 다양한 이벤트 유형을 처리합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 설치된 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • Cortex XDR에 대한 권한 액세스 권한이 있는지 확인합니다.

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: PAN_EDR
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

Palo Alto Networks Traps 구성

  1. Cortex XDR ESM 콘솔에 로그인합니다.
  2. 설정 > ESM > Syslog를 선택합니다.
  3. syslog 사용 설정 체크박스를 선택합니다.
  4. 다음 구성 세부정보를 제공합니다.
    • Syslog 서버: Bindplane 에이전트의 IP 주소를 입력합니다.
    • Syslog 포트: Bindplane에 구성된 포트 번호를 입력합니다(예: 514).
    • Syslog protocol(Syslog 프로토콜): CEF를 선택합니다.
    • Keep-alive timeout을 0으로 설정합니다.
    • 통신 프로토콜: UDP를 선택합니다.
  5. 보안 관련 활동 섹션에서 다음 체크박스를 선택합니다.
    • 예방 이벤트
    • 알림 이벤트
    • 감지 후 이벤트
  6. 연결 확인 > 저장을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
agentId event.idm.read_only_udm.additional.fields.value.string_value 원시 로그의 agentId 값이 additional.fields 아래의 중첩된 구조 내에 있는 string_value 필드에 매핑됩니다. 이 필드의 keyAgent ID로 설정됩니다.
agentIp event.idm.read_only_udm.target.ip 원시 로그의 agentIp 값이 target.ip 필드에 매핑됩니다.
cat event.idm.read_only_udm.security_result.rule_name 원시 로그의 cat 값이 security_result.rule_name 필드에 매핑됩니다.
class event.idm.read_only_udm.security_result.category_details subClass와 함께 사용하여 security_result.category_detailsclass: subClass 형식으로 채웁니다.
cs1 event.idm.read_only_udm.principal.application, event.idm.read_only_udm.principal.user.email_addresses cs1Labelemail이고 cs1이 유효한 이메일 주소인 경우 principal.user.email_addresses에 매핑됩니다. cs1LabelInitiated by이면 principal.application에 매핑됩니다.
cs2 event.idm.read_only_udm.principal.process.command_line, event.idm.read_only_udm.security_result.description cs2Labelsubtype이면 security_result.description에 매핑됩니다. cs2LabelInitiator CMD이면 principal.process.command_line에 매핑됩니다.
cs3 event.idm.read_only_udm.security_result.action_details cs3Labelresult이면 security_result.action_details에 매핑됩니다.
customerId event.idm.read_only_udm.additional.fields.value.string_value 원시 로그의 customerId 값이 additional.fields 아래의 중첩된 구조 내에 있는 string_value 필드에 매핑됩니다. 이 필드의 keyCustomer ID로 설정됩니다.
date_time event.idm.read_only_udm.metadata.event_timestamp.seconds 파싱되어 타임스탬프로 변환된 후 metadata.event_timestamp.seconds에 매핑됩니다.
desc event.idm.read_only_udm.metadata.description 원시 로그의 desc 값이 metadata.description 필드에 매핑됩니다.
deviceName event.idm.read_only_udm.target.hostname 원시 로그의 deviceName 값이 target.hostname 필드에 매핑됩니다.
email_receiver event.idm.read_only_udm.network.email.to 이메일 주소가 포함된 경우 msg 필드에서 추출하여 network.email.to에 매핑됩니다.
endpoint_desc event.idm.read_only_udm.target.resource.attribute.labels.value isEndpoint에서 파생됨: isEndpoint이 1이면 Yes, host is an endpoint., isEndpoint이 0이면 No, host is not an endpoint keyIs Endpoint으로 설정됩니다.
eventType event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.metadata.event_type 원시 로그의 eventType 값이 metadata.product_event_type 필드에 매핑됩니다. 또한 값을 기반으로 metadata.event_type를 파생하는 데 사용됩니다 (예: Management Audit LogsEMAIL_TRANSACTION을 생성하고, XDR Analytics BIOC 또는 Behavioral ThreatSCAN_NETWORK을 생성합니다.
facility event.idm.read_only_udm.additional.fields.value.string_value 원시 로그의 facility 값이 additional.fields 아래의 중첩된 구조 내에 있는 string_value 필드에 매핑됩니다. 이 필드의 keyFacility로 설정됩니다.
fileHash event.idm.read_only_udm.principal.process.file.sha256 원시 로그의 fileHash 값이 소문자로 변환되어 principal.process.file.sha256 필드에 매핑됩니다.
filePath event.idm.read_only_udm.principal.process.file.full_path 원시 로그의 filePath 값이 principal.process.file.full_path 필드에 매핑됩니다.
friendlyName event.idm.read_only_udm.metadata.description 원시 로그의 friendlyName 값이 metadata.description 필드에 매핑됩니다.
interm_ip event.idm.read_only_udm.intermediary.ip 원시 로그의 interm_ip 값이 intermediary.ip 필드에 매핑됩니다.
isEndpoint event.idm.read_only_udm.target.resource.attribute.labels.value target.resource.attribute.labels.value를 파생하는 데 사용됩니다.
isVdi event.idm.read_only_udm.target.resource.resource_type isVdi이 1이면 target.resource.resource_typeVIRTUAL_MACHINE로 설정됩니다.
msg event.idm.read_only_udm.security_result.summary 원시 로그의 msg 값이 security_result.summary 필드에 매핑됩니다. email_receiver을 추출하는 데도 사용됩니다.
msgTextEn event.idm.read_only_udm.security_result.description 원시 로그의 msgTextEn 값이 security_result.description 필드에 매핑됩니다.
osType event.idm.read_only_udm.target.platform, event.idm.read_only_udm.target.resource.attribute.labels.value osType이 1이면 target.platformWINDOWS로 설정됩니다. osType이 2이면 target.platformMAC로 설정됩니다. osType이 4이면 target.platformLINUX로 설정됩니다. osType이 3이면 값이 key OStarget.resource.attribute.labels.value에 매핑됩니다.
osVersion event.idm.read_only_udm.target.platform_version 원시 로그의 osVersion 값이 target.platform_version 필드에 매핑됩니다.
product_version event.idm.read_only_udm.metadata.product_version 원시 로그의 product_version 값이 metadata.product_version 필드에 매핑됩니다.
proto event.idm.read_only_udm.network.ip_protocol protoudp이면 network.ip_protocolUDP로 설정됩니다.
recordType event.idm.read_only_udm.additional.fields.value.string_value 원시 로그의 recordType 값이 additional.fields 아래의 중첩된 구조 내에 있는 string_value 필드에 매핑됩니다. 이 필드의 keyRecord Type로 설정됩니다.
regionId event.idm.read_only_udm.principal.location.country_or_region regionId이 10이면 principal.location.country_or_regionAmericas (N. Virginia)로 설정됩니다. regionId이 70이면 principal.location.country_or_regionEMEA (Frankfurt)로 설정됩니다.
request event.idm.read_only_udm.target.url 원시 로그의 request 값이 target.url 필드에 매핑됩니다.
sec_category_details event.idm.read_only_udm.security_result.category_details 원시 로그의 sec_category_details 값이 security_result.category_details 필드에 매핑됩니다.
sec_desc event.idm.read_only_udm.security_result.description 원시 로그의 sec_desc 값이 security_result.description 필드에 매핑됩니다.
serverHost event.idm.read_only_udm.principal.hostname 원시 로그의 serverHost 값이 principal.hostname 필드에 매핑됩니다.
severity event.idm.read_only_udm.security_result.severity 다음 논리에 따라 security_result.severity에 매핑됩니다. 2 -> CRITICAL, 3 -> ERROR, 4 -> MEDIUM, 5 -> LOW, 6 -> INFORMATIONAL
severity_val event.idm.read_only_udm.security_result.severity, event.idm.read_only_udm.security_result.severity_details severity_val이 0이면 security_result.severity_detailsUNKNOWN_SEVERITY로 설정됩니다. 그렇지 않으면 다음 논리에 따라 security_result.severity에 매핑됩니다. 6 -> LOW, 8 -> MEDIUM, 9 -> HIGH
shost event.idm.read_only_udm.principal.hostname 원시 로그의 shost 값이 principal.hostname 필드에 매핑됩니다.
src_ip event.idm.read_only_udm.principal.ip 원시 로그의 src_ip 값이 principal.ip 필드에 매핑됩니다.
subClass event.idm.read_only_udm.security_result.category_details class와 함께 사용하여 security_result.category_details를 채웁니다.
suser event.idm.read_only_udm.principal.user.user_display_name 괄호, 백슬래시, 작은따옴표가 삭제된 원시 로그의 suser 값이 principal.user.user_display_name 필드에 매핑됩니다.
targetprocesscmd event.idm.read_only_udm.target.process.command_line 원시 로그의 targetprocesscmd 값이 target.process.command_line 필드에 매핑됩니다.
targetprocessname event.idm.read_only_udm.target.application 원시 로그의 targetprocessname 값이 target.application 필드에 매핑됩니다.
targetprocesssha256 event.idm.read_only_udm.target.process.file.sha256 원시 로그의 targetprocesssha256 값이 소문자로 변환되어 target.process.file.sha256 필드에 매핑됩니다.
tenantname event.idm.read_only_udm.target.resource.attribute.labels.value 원시 로그의 tenantname 값이 target.resource.attribute.labels 아래의 중첩된 구조 내에 있는 value 필드에 매핑됩니다. 이 필드의 keyTenant name로 설정됩니다.
event.idm.read_only_udm.metadata.event_type 기본적으로 STATUS_UPDATE로 설정합니다. eventTypeManagement Audit Logs이면 EMAIL_TRANSACTION로 변경됩니다. eventTypeXDR Analytics BIOC 또는 Behavioral Threat인 경우 또는 descBehavioral Threat인 경우 SCAN_NETWORK로 변경됩니다. descSuspicious Process Creation이면 SCAN_PROCESS로 변경됩니다. Palo Alto Networks로 설정합니다. Cortex XDR로 설정합니다. PAN_EDR로 설정합니다. eventTypeXDR Analytics BIOC 또는 Behavioral Threat이거나 descBehavioral Threat이면 NETWORK_SUSPICIOUS로 설정합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.