Palo Alto Cortex XDR-Benachrichtigungsprotokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Palo Alto Cortex XDR-Benachrichtigungsprotokolle erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel CORTEX_XDR.
Palo Alto Cortex XDR-Benachrichtigungen konfigurieren
So konfigurieren Sie Palo Alto Cortex XDR-Benachrichtigungen:
- API-Schlüssel für Benachrichtigungen von Palo Alto Cortex XDR abrufen
- API-Schlüssel-ID für Cortex XDR-Benachrichtigungen von Palo Alto abrufen
- Holen Sie sich den voll qualifizierten Domainnamen (FQDN).
API-Schlüssel für Benachrichtigungen von Palo Alto Cortex XDR abrufen
- Melden Sie sich im Cortex XDR-Portal an.
- Klicken Sie im Menü Einstellungen auf Einstellungen.
- Wählen Sie + Neuer Schlüssel aus.
- Wählen Sie im Abschnitt Sicherheitsebene die Option Erweitert aus.
- Wählen Sie im Bereich Rollen die Option Betrachter aus.
- Klicken Sie auf Erstellen.
- Kopieren Sie den API-Schlüssel und klicken Sie auf Fertig. Der API-Schlüssel ist Ihr eindeutiger Autorisierungsschlüssel und wird nur beim Erstellen angezeigt. Er ist erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.
API-Schlüssel-ID für Benachrichtigungen von Palo Alto Cortex XDR abrufen
Gehen Sie im Bereich Konfigurationen zu API-Schlüssel > ID. Notieren Sie sich die entsprechende ID-Nummer, die für das x-xdr-auth-id:{key_id}-Token steht.
FQDN abrufen
- Rufen Sie API-Schlüssel auf.
- Klicken Sie auf URL kopieren. Speichern Sie die URL. Sie ist erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.
Feed in Google Security Operations konfigurieren, um Palo Alto Cortex XDR-Benachrichtigungsprotokolle zu verarbeiten
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
- Geben Sie einen eindeutigen Namen für das Feld ein.
- Wählen Sie API von Drittanbietern als Quelltyp aus.
- Wählen Sie als Protokolltyp Palo Alto Cortex XDR-Benachrichtigungen aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- HTTP-Authentifizierungsheader: Gib den Autorisierungsschlüssel und die Autorisierungsschlüssel-ID an, die du zuvor erhalten hast.
- API-Hostname: Geben Sie die URL an, die Sie zuvor erhalten haben.
- Endpunkt: Geben Sie den Endpunkt an.
- Klicken Sie auf Weiter und dann auf Senden.
Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.
Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser extrahiert Sicherheitsprotokolle aus Palo Alto Networks Cortex XDR entweder im JSON- oder SYSLOG-Format (Schlüssel/Wert), normalisiert Felder und weist sie dem UDM zu. Es unterstützt sowohl JSON- als auch Schlüssel/Wert-Formate, führt Datumsextraktionen durch, ergänzt die Daten mit Metadaten und strukturiert die Ausgabe für die Aufnahme in Google SecOps.
REST API-Anfragen in Cortex XDR aktivieren und einen Google SecOps-Feed konfigurieren
In diesem Leitfaden finden Sie eine detaillierte Anleitung zum Aktivieren von REST API-Anfragen in Cortex XDR und zum Konfigurieren eines entsprechenden Feeds in Google SecOps.
Teil 1: REST API-Anfragen in Cortex XDR aktivieren
In Cortex XDR werden API-Schlüssel für die Authentifizierung verwendet. So generieren Sie einen API-Schlüssel:
- Melden Sie sich in der Cortex XDR-Verwaltungskonsole an.
- Gehen Sie zu Einstellungen.
- Rufen Sie API-Schlüssel auf.
- Erstellen Sie einen neuen Schlüssel.
- Geben Sie einen Schlüsselnamen an, z. B. „SecOps-Integration“.
- Weisen Sie dem API-Schlüssel die erforderlichen Berechtigungen für den Zugriff auf die erforderlichen Daten zu. Dies ist entscheidend für die Sicherheit und sorgt dafür, dass der Schlüssel nur auf das zugreifen kann, was er benötigt. In der Cortex XDR-Dokumentation finden Sie die für Ihren Anwendungsfall erforderlichen Berechtigungen.
- Speichern Sie den API-Schlüssel sicher. Sie benötigen sie für die Konfiguration des Google SecOps-Feeds. Dies ist das einzige Mal, dass Sie den vollständigen Schlüssel sehen. Kopieren Sie ihn daher jetzt.
- Optional: Konfigurieren Sie ein Ablaufdatum für den API-Schlüssel, um die Sicherheit zu erhöhen.
Teil 2: Feed in Google SecOps konfigurieren
Nachdem Sie den API-Schlüssel generiert haben, konfigurieren Sie den Feed in Google SecOps so, dass Daten von Cortex XDR empfangen werden:
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie den erforderlichen Logtyp aus, der den Daten entspricht, die Sie aus Cortex XDR aufnehmen möchten.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden Eingabeparameter:
- API-Endpunkt: Geben Sie die Basis-URL für die Cortex XDR API ein. Weitere Informationen finden Sie in der Cortex XDR API-Dokumentation.
- API-Schlüssel: Fügen Sie den zuvor generierten API-Schlüssel ein.
- Weitere Parameter: Je nach verwendeter Cortex XDR API müssen Sie möglicherweise zusätzliche Parameter angeben, z. B. bestimmte Datenfilter oder Zeiträume. Weitere Informationen finden Sie in der Cortex XDR API-Dokumentation.
- Klicken Sie auf Weiter und dann auf Senden.
Wichtige Hinweise:
- Ratenbegrenzung: Beachten Sie alle Ratenbegrenzungen, die von der Cortex XDR API auferlegt werden. Konfigurieren Sie den Feed entsprechend, um diese Limits nicht zu überschreiten.
- Fehlerbehandlung: Implementieren Sie eine ordnungsgemäße Fehlerbehandlung in Ihrer Google SecOps-Konfiguration, um Situationen zu verwalten, in denen die Cortex XDR API nicht verfügbar ist oder Fehler zurückgibt.
- Sicherheit: Speichern Sie den API-Schlüssel sicher und beachten Sie die Best Practices für die Sicherheit. Wechseln Sie API-Schlüssel regelmäßig, um die Auswirkungen potenzieller Manipulationen zu minimieren.
- Dokumentation: In der offiziellen Cortex XDR API-Dokumentation finden Sie ausführliche Informationen zu verfügbaren Endpunkten, Parametern und Datenformaten.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
action |
security_result.action |
Wenn action „BLOCKED“ enthält, legen Sie „BLOCK“ fest. |
action |
security_result.action_details |
Wenn act nicht leer, null oder „none“ ist, verwenden Sie den Wert von act. Andernfalls, wenn action nicht „BLOCKED“ ist, verwenden Sie den Wert von action. |
action_country |
security_result.about.location.country_or_region |
Direkte Zuordnung. Wird auch in verschachtelten events-Feldern verwendet. |
action_file_path |
target.resource.attribute.labels |
Erstellt ein Label mit dem Schlüssel „action_file_path“ und dem Wert aus dem Protokollfeld. |
action_file_sha256 |
target.file.sha256 |
Wandelt in Kleinbuchstaben um. |
action_local_port |
principal.port |
Wandelt in eine Ganzzahl um. |
action_remote_ip |
target.ip |
Mit dem Array target.ip zusammengeführt. |
action_remote_ip |
target.asset.ip |
Sie werden mit dem Array target.asset.ip zusammengeführt. |
action_remote_port |
target.port |
Wandelt in eine Ganzzahl um. |
act |
security_result.action_details |
Wird verwendet, wenn der Wert nicht leer, null oder „none“ ist. |
agent_data_collection_status |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
agent_device_domain |
target.administrative_domain |
Direkte Zuordnung. |
agent_fqdn |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
agent_install_type |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
agent_is_vdi |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
agent_os_sub_type |
target.platform_version |
Direkte Zuordnung. |
agent_os_type |
target.platform |
Wenn „Windows“, legen Sie „WINDOWS“ fest. |
agent_version |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
alert_id |
security_result.rule_id |
Direkte Zuordnung. |
app |
target.application |
Direkte Zuordnung. |
cat |
security_result.category_details |
Mit dem Feld security_result.category_details zusammengeführt. |
category |
security_result.category |
Wenn „Malware“, legen Sie „SOFTWARE_MALICIOUS“ fest. |
category |
security_result.category_details |
Mit dem Feld security_result.category_details zusammengeführt. |
cn1 |
network.session_id |
Direkte Zuordnung. |
cn1Label |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
contains_featured_host |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
contains_featured_ip |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
contains_featured_user |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
creation_time |
metadata.event_timestamp |
In einen Zeitstempel umgewandelt. |
cs1 |
security_result.rule_name |
Wird mit cs1Label zu security_result.rule_name zusammengefügt. |
cs1Label |
security_result.rule_name |
Wird mit cs1 zu security_result.rule_name zusammengefügt. |
cs2 |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel aus cs2Label und dem Stringwert aus cs2. |
cs2Label |
additional.fields |
Wird als Schlüssel für den Wert cs2 in additional.fields verwendet. |
cs3 |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel aus cs3Label und dem Stringwert aus cs3. |
cs3Label |
additional.fields |
Wird als Schlüssel für den Wert cs3 in additional.fields verwendet. |
cs4 |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel aus cs4Label und dem Stringwert aus cs4. |
cs4Label |
additional.fields |
Wird als Schlüssel für den Wert cs4 in additional.fields verwendet. |
cs5 |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel aus cs5Label und dem Stringwert aus cs5. |
cs5Label |
additional.fields |
Wird als Schlüssel für den Wert cs5 in additional.fields verwendet. |
cs6 |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel aus cs6Label und dem Stringwert aus cs6. |
cs6Label |
additional.fields |
Wird als Schlüssel für den Wert cs6 in additional.fields verwendet. |
CSPaccountname |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel „CSPaccountname“ und dem Stringwert aus dem Protokollfeld. |
description |
metadata.description |
Direkte Zuordnung. Wird auch für security_result.description verwendet, wenn event_type nicht GENERIC_EVENT ist. |
destinationTranslatedAddress |
target.ip |
Sie werden mit dem Array target.ip zusammengeführt. |
destinationTranslatedAddress |
target.asset.ip |
Mit dem Array target.asset.ip zusammengeführt. |
destinationTranslatedPort |
target.port |
Wird in eine Ganzzahl konvertiert, wenn der Wert nicht leer ist, andernfalls in -1. |
deviceExternalId |
security_result.about.asset_id |
Beginnt mit „Device External Id: ". |
dpt |
target.port |
Wird in eine Ganzzahl umgewandelt, wenn destinationTranslatedPort leer oder -1 ist. |
dst |
target.ip |
Mit dem Array target.ip zusammengeführt. |
dst |
target.asset.ip |
Mit dem Array target.asset.ip zusammengeführt. |
dst_agent_id |
target.ip |
Wird in eine IP-Adresse umgewandelt und in das target.ip-Array eingefügt, wenn es sich um eine gültige IP-Adresse handelt. |
dst_agent_id |
target.asset.ip |
Wird in eine IP-Adresse umgewandelt und in das target.asset.ip-Array eingefügt, wenn es sich um eine gültige IP-Adresse handelt. |
dvchost |
principal.hostname |
Direkte Zuordnung. |
dvchost |
principal.asset.hostname |
Direkte Zuordnung. |
endpoint_id |
target.process.product_specific_process_id |
Hat das Präfix „cor:“. |
event_id |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
event_sub_type |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
event_timestamp |
metadata.event_timestamp |
In einen Zeitstempel umgewandelt. Wird auch in verschachtelten events-Feldern verwendet. |
event_type |
metadata.event_type |
Basierend auf Logik einem UDM-Ereignistyp zugeordnet. Wird auch in verschachtelten events-Feldern verwendet. |
event_type |
metadata.product_event_type |
Direkte Zuordnung. |
event_type |
security_result.threat_name |
Direkte Zuordnung. |
events |
Verschachtelte Ereignisse | Felder im events-Array werden den entsprechenden UDM-Feldern in verschachtelten events-Objekten zugeordnet. Weitere Informationen finden Sie in den einzelnen Feldzuordnungen. |
external_id |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fileId |
target.resource.attribute.labels |
Erstellt ein Label mit dem Schlüssel „fileId“ und dem Wert aus dem Protokollfeld. |
fileHash |
target.file.sha256 |
In Kleinbuchstaben umgewandelt. Legt metadata.event_type auf FILE_UNCATEGORIZED fest. |
filePath |
target.file.full_path |
Direkte Zuordnung. Legt metadata.event_type auf FILE_UNCATEGORIZED fest. |
fw_app_category |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_app_id |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_app_subcategory |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_app_technology |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_device_name |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_email_recipient |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_email_sender |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_email_subject |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_interface_from |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_interface_to |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_is_phishing |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_misc |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_rule |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_rule_id |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_serial_number |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_url_domain |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_vsys |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
fw_xff |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
host_ip |
principal.ip |
Sie werden durch Kommas getrennt und in das principal.ip-Array eingefügt. |
host_ip |
principal.asset.ip |
Sie werden durch Kommas getrennt und in das principal.asset.ip-Array eingefügt. |
host_name |
principal.hostname |
Direkte Zuordnung. |
host_name |
principal.asset.hostname |
Direkte Zuordnung. |
hosts |
target.hostname |
Extrahiert den Hostnamen aus dem ersten Element des Arrays hosts. |
hosts |
target.asset.hostname |
Extrahiert den Hostnamen aus dem ersten Element des Arrays hosts. |
hosts |
target.user.employee_id |
Hiermit wird die Nutzer-ID aus dem ersten Element des Arrays hosts extrahiert. |
incident_id |
metadata.product_log_id |
Direkte Zuordnung. |
is_whitelisted |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
local_insert_ts |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
mac |
principal.mac |
Sie werden durch Kommas getrennt und in das principal.mac-Array eingefügt. |
matching_status |
Nicht zugeordnet | Dieses Feld ist zwar im Rohprotokoll vorhanden, wird aber nicht dem IDM-Objekt in der endgültigen UDM zugeordnet. |
metadata.description |
security_result.description |
Wird verwendet, wenn event_type GENERIC_EVENT ist. |
metadata.event_type |
metadata.event_type |
Anhand von Logik mithilfe von event_type, host_ip und anderen Feldern festgelegt. |
metadata.log_type |
metadata.log_type |
Legen Sie „CORTEX_XDR“ fest. |
metadata.product_name |
metadata.product_name |
Legen Sie „Cortex“ fest. |
metadata.vendor_name |
metadata.vendor_name |
Legen Sie diesen Wert auf „Palo Alto Networks“ fest. |
msg |
security_result.description |
Direkte Zuordnung. |
name |
security_result.summary |
Direkte Zuordnung. |
PanOSDGHierarchyLevel1 |
security_result.detection_fields |
Erstellt ein Schlüssel/Wert-Paar in security_result.detection_fields mit dem Schlüssel „PanOSDGHierarchyLevel1“ und dem Wert aus dem Protokollfeld. |
PanOSDestinationLocation |
target.location.country_or_region |
Direkte Zuordnung. |
PanOSDynamicUserGroupName |
principal.group.group_display_name |
Direkte Zuordnung, wenn nicht leer oder „-“. |
PanOSSourceLocation |
principal.location.country_or_region |
Direkte Zuordnung. |
PanOSThreatCategory |
security_result.category_details |
Mit dem Feld security_result.category_details zusammengeführt. |
PanOSThreatID |
security_result.threat_id |
Direkte Zuordnung. |
principal.asset.attribute.labels |
principal.asset.attribute.labels |
Erstellt ein Label mit dem Schlüssel „Quelle“ und dem Wert aus dem Feld source. |
proto |
network.ip_protocol |
In Großbuchstaben umgewandelt. Legt metadata.event_type auf NETWORK_CONNECTION fest. |
request |
network.http.referral_url |
Direkte Zuordnung. |
rt |
metadata.event_timestamp |
In einen Zeitstempel umgewandelt. |
security_result.severity |
security_result.severity |
Legen Sie den Wert severity in Großbuchstaben fest. |
severity |
security_result.severity |
In Großbuchstaben umgewandelt. |
shost |
principal.hostname |
Direkte Zuordnung. Legt metadata.event_type auf STATUS_UPDATE fest. |
shost |
principal.asset.hostname |
Direkte Zuordnung. Legt metadata.event_type auf STATUS_UPDATE fest. |
source |
principal.asset.attribute.labels |
Wird als Wert für das Label „Quelle“ verwendet. |
source |
security_result.summary |
Wird verwendet, wenn die Filter not_json und grok übereinstimmen. |
sourceTranslatedAddress |
principal.ip |
Mit dem Array principal.ip zusammengeführt. |
sourceTranslatedAddress |
principal.asset.ip |
Mit dem Array principal.asset.ip zusammengeführt. |
sourceTranslatedPort |
principal.port |
Wird in eine Ganzzahl konvertiert, wenn der Wert nicht leer ist, andernfalls in -1. |
spt |
principal.port |
In eine Ganzzahl umgewandelt. |
sr_summary |
security_result.summary |
Wird verwendet, wenn die Filter not_json und grok übereinstimmen. |
src |
principal.ip |
Mit dem Array principal.ip zusammengeführt. |
src |
principal.asset.ip |
Sie werden mit dem Array principal.asset.ip zusammengeführt. |
suser |
principal.user.user_display_name |
Direkte Zuordnung. |
tenantCDLid |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel „tenantCDLid“ und dem Stringwert aus dem Protokollfeld. |
tenantname |
additional.fields |
Erstellt ein Schlüssel/Wert-Paar in additional.fields mit dem Schlüssel „tenantname“ und dem Stringwert aus dem Protokollfeld. |
users |
target.user.userid |
Das erste Element des Arrays users wird verwendet. |
xdr_url |
metadata.url_back_to_product |
Direkte Zuordnung. |
Änderungen
2024-07-05
- „isInteractive“ wurde „security_result.detection_fields“ zugeordnet.
2024-04-02
- „properties.createdDateTime“ wurde in „metadata.event_timestamp“ umgewandelt.
- „properties.resourceServicePrincipalId“ und „resourceServicePrincipalId“ wurden auf „target.resource.attribute.labels“ zugeordnet.
- „properties.authenticationProcessingDetails“, „authenticationProcessingDetails“ und „properties.networkLocationDetails“ wurden „additional.fields“ zugeordnet.
- „properties.userAgent“ wurde in „network.http.user_agent“ und „network.http.parsed_user_agent“ umgewandelt.
- „properties.authenticationRequirement“ wurde „additional.fields“ zugeordnet.
2024-04-17
- „action_local_port“ wurde auf „principal.port“ zugeordnet.
- „dst_agent_id“ wurde „principal.ip“ zugeordnet.
- „action_remote_ip“ wurde in „target.ip“ geändert.
- „action_remote_port“ wurde auf „target.ip“ zugeordnet.
- Es wurde eine Prüfung hinzugefügt, ob „target_device“ vorhanden ist, bevor „metadata.event_type“ auf „NETWORK_CONNECTION“ festgelegt wird.
2024-03-15
- Es wurde ein Grok-Filter hinzugefügt, um „source“ und „sr_summary“ aus dem Nachrichtenheader abzurufen.
- „sr_summary“ wurde „security_result.summary“ zugeordnet.
2024-03-11
- Unterstützung für CEF-Format-Protokolle hinzugefügt
- „rt“ wurde „metadata.event_timestamp“ zugeordnet.
- „category“ und „cat“ wurden „security_result.category_details“ zugeordnet.
- „cs2Label“, „cs2“, „tenantname“, „tenantCDLid“ und „CSPaccountname“ wurden zu „additional.fields“ zugeordnet.
- „shost“ wurde „principal.hostname“ und „principal.asset.hostname“ zugeordnet.
- „spt“ wurde „principal.port“ zugeordnet.
- „src“ wurde „principal.ip“ und „principal.asset.ip“ zugeordnet.
- „suser“ wurde „principal.user.user_display_name“ zugeordnet.
- „dpt“ wurde „target.port“ zugeordnet.
- „dst“ wurde „target.ip“ und „target.asset.ip“ zugeordnet.
- „fileHash“ wurde auf „target.file.sha256“ zugeordnet.
- „filePath“ wurde „target.file.full_path“ zugeordnet.
- „request“ wurde „network.http.referral_url“ zugeordnet.
- „msg“ wurde in „security_result.description“ geändert.
2024-01-18
- Die Zuordnung für „action_file_path“ wurde von „target.file.full_path“ zu „target.resource.attribute.labels“ geändert.
- „domain“ wurde „target.asset.hostname“ zugeordnet.
- „destinationTranslatedAddress“ wurde „target.asset.ip“ zugeordnet.
- „host_name“ wurde „principal.asset.hostname“ zugeordnet.
- „dvchost“ wurde „principal.asset.hostname“ zugeordnet.
- „ip“ wurde in „principal.asset.ip“ geändert.
- „sourceTranslatedAddress“ wurde „principal.asset.ip“ zugeordnet.
2023-11-10
- Wenn „event_type“ „RPC Call“ ist, wird „metadata.event_type“ mit „STATUS_UPDATE“ abgeglichen.
- „events.action_country“ wurde in „security_result.about.location.country_or_region“ umgewandelt.
- „events.actor_process_command_line“ wurde in „target.process.command_line“ geändert.
- „events.actor_process_image_md5“ wurde in „target.file.md5“ geändert.
- „events.actor_process_image_path“ wurde in „target.file.full_path“ geändert.
- „events.actor_process_image_sha256“ wurde in „target.file.sha256“ geändert.
- „events.actor_process_instance_id“ wurde in „target.process.pid“ umgewandelt.
- „events.os_actor_process_command_line“ wurde in „principal.process.command_line“ geändert.
- „events.os_actor_process_image_path“ wurde in „principal.file.full_path“ geändert.
- „events.os_actor_process_image_sha256“ wurde in „principal.file.sha256“ geändert.
- „events.os_actor_process_instance_id“ wurde in „principal.process.pid“ umgewandelt.
- „events.causality_actor_process_command_line“ wurde in „intermediary.process.command_line“ geändert.
- „events.causality_actor_process_image_path“ wurde in „intermediary.file.full_path“ umgewandelt.
- „events.causality_actor_process_image_sha256“ wurde in „intermediary.file.sha256“ umgewandelt.
- „events.causality_actor_process_instance_id“ wurde in „intermediary.process.pid“ umgewandelt.
- „events.causality_actor_process_image_md5“ wurde in „intermediary.file.md5“ umgewandelt.
- „events.event_type“ wurde in „metadata.product_event_type“ umgewandelt.
- „events.user_name“ wurde auf „principal.user.user_display_name“ zugeordnet.
2023-10-16
- „source“ wurde in „principal.asset.attribute.labels“ geändert.
- Legen Sie „metadata.event_type“ auf „NETWORK_CONNECTION“ fest, wenn „event_type“ in „Netzwerkverbindungen“ oder „Netzwerkereignis“ enthalten ist.
2022-11-03
- „PanOSConfigVersion“ wurde „security_result.detection_fields“ zugeordnet.
- „PanOSContentVersion“ wurde „security_result.detection_fields“ zugeordnet.
- „PanOSDGHierarchyLevel1“ wurde „security_result.detection_fields“ zugeordnet.
- „PanOSDestinationLocation“ wurde „target.location.country_or_region“ zugeordnet.
- „PanOSDynamicUserGroupName“ wurde auf „principal.group.group_display_name“ zugeordnet.
- „PanOSSourceLocation“ wurde „principal.location.country_or_region“ zugeordnet.
- „PanOSThreatCategory“ wurde „security_result.category_details“ zugeordnet.
- „PanOSThreatID“ wurde „security_result.threat_id“ zugeordnet.
- „app“ wurde „target.application“ zugeordnet.
- „cs1“ wurde „additional.fields“ zugeordnet.
- „cs3“ wurde „additional.fields“ zugeordnet.
- „cs4“ wurde „additional.fields“ zugeordnet.
- „cs5“ wurde „additional.fields“ zugeordnet.
- „cs6“ wurde „additional.fields“ zugeordnet.
- „cn1“ wurde „additional.fields“ zugeordnet.
- „sourceTranslatedPort“ wurde auf „principal.port“ zugeordnet.
- „sourceTranslatedAddress“ wurde mit „principal.ip“ verknüpft.
- „destinationTranslatedAddress“ wurde „target.ip“ zugeordnet.
- „destinationTranslatedPort“ wurde in „target.port“ umgewandelt.
- „act“ wurde „security_result.action_details“ zugeordnet.
- „deviceExternalId“ wurde „security_result.about.asset_id“ zugeordnet.
- „dvchost“ wurde auf „principal.hostname“ zugeordnet.
- „proto“ wurde in „network.ip_protocol“ umgewandelt.
- „fileId“ wurde auf „target.resource.attribute.labels“ zugeordnet.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten