Mengumpulkan log pemberitahuan Palo Alto Cortex XDR
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log pemberitahuan Palo Alto Cortex XDR dengan menyiapkan feed Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer CORTEX_XDR.
Mengonfigurasi pemberitahuan Palo Alto Cortex XDR
Untuk mengonfigurasi pemberitahuan Palo Alto Cortex XDR, selesaikan tugas berikut:
- Dapatkan kunci API pemberitahuan Palo Alto Cortex XDR.
- Dapatkan ID kunci API pemberitahuan Palo Alto Cortex XDR.
- Dapatkan nama domain yang sepenuhnya memenuhi syarat (FQDN).
Mendapatkan kunci API pemberitahuan Palo Alto Cortex XDR
- Login ke portal Cortex XDR.
- Di menu Settings, klik Settings.
- Pilih +Kunci baru.
- Di bagian Security level, pilih Advanced.
- Di bagian Roles, pilih Viewer.
- Klik Generate.
- Salin kunci API, lalu klik Selesai. Kunci API mewakili kunci otorisasi unik Anda dan hanya ditampilkan pada saat pembuatan. Hal ini diperlukan saat Anda mengonfigurasi feed Google Security Operations.
Mendapatkan ID kunci API pemberitahuan Palo Alto Cortex XDR
Di bagian Configurations, buka API keys > ID. Perhatikan
nomor ID yang sesuai, yang mewakili token x-xdr-auth-id:{key_id}.
Mendapatkan FQDN
- Buka API keys.
- Klik Salin URL. Simpan URL, yang diperlukan saat Anda mengonfigurasi feed Google Security Operations.
Mengonfigurasi feed di Google Security Operations untuk menyerap log pemberitahuan Palo Alto Cortex XDR
- Buka Setelan SIEM > Feed.
- Klik Add New.
- Masukkan nama unik untuk Nama Kolom.
- Pilih API pihak ketiga sebagai Jenis Sumber.
- Pilih Palo Alto Cortex XDR Alerts sebagai Log Type.
- Klik Berikutnya.
- Konfigurasikan parameter input wajib berikut:
- Header HTTP autentikasi: berikan kunci otorisasi dan ID kunci otorisasi yang Anda peroleh sebelumnya.
- Nama host API: berikan URL yang Anda peroleh sebelumnya.
- Endpoint: tentukan endpoint.
- Klik Berikutnya, lalu klik Kirim.
Untuk informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.
Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini mengekstrak log keamanan dari Palo Alto Networks Cortex XDR dalam format JSON atau SYSLOG (kunci-nilai), menormalisasi kolom, dan memetakan ke UDM. Alat ini menangani format JSON dan nilai kunci, melakukan ekstraksi tanggal, memperkaya data dengan metadata, dan menyusun output untuk penyerapan ke Google SecOps.
Mengaktifkan permintaan REST API di Cortex XDR dan mengonfigurasi feed Google SecOps
Panduan ini memberikan petunjuk langkah demi langkah untuk mengaktifkan permintaan REST API di Cortex XDR dan mengonfigurasi feed yang sesuai di Google SecOps.
Bagian 1: Mengaktifkan permintaan REST API di Cortex XDR
Cortex XDR menggunakan kunci API untuk autentikasi. Ikuti langkah-langkah berikut untuk membuat kunci API:
- Login ke konsol pengelolaan Cortex XDR.
- Buka Setelan.
- Akses Kunci API.
- Buat kunci baru.
- Berikan nama kunci (misalnya, "Integrasi SecOps").
- Tetapkan izin yang diperlukan ke kunci API untuk mengakses data yang diperlukan. Hal ini sangat penting untuk keamanan dan memastikan kunci hanya memiliki akses ke apa yang diperlukan. Lihat dokumentasi Cortex XDR untuk mengetahui izin spesifik yang diperlukan untuk kasus penggunaan Anda.
- Simpan kunci API dengan aman. Anda memerlukannya untuk konfigurasi feed Google SecOps. Ini adalah satu-satunya waktu Anda akan melihat kunci lengkap, jadi pastikan untuk menyalinnya sekarang.
- (Opsional) Konfigurasikan tanggal habis masa berlaku untuk kunci API guna meningkatkan keamanan.
Bagian 2: Mengonfigurasi feed di Google SecOps
Setelah Anda membuat kunci API, konfigurasikan feed di Google SecOps untuk menerima data dari Cortex XDR:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Pilih Third Party API sebagai Source type.
- Pilih jenis log yang diperlukan yang sesuai dengan data yang ingin Anda serap dari Cortex XDR.
- Klik Berikutnya.
- Konfigurasikan parameter input berikut:
- Endpoint API: Masukkan URL dasar untuk Cortex XDR API. Hal ini dapat ditemukan di dokumentasi Cortex XDR API.
- API Key: Tempelkan kunci API yang Anda buat sebelumnya.
- Parameter Lainnya: Bergantung pada Cortex XDR API tertentu yang Anda gunakan, Anda mungkin perlu memberikan parameter tambahan, seperti filter data atau rentang waktu tertentu. Lihat dokumentasi Cortex XDR API untuk mengetahui detailnya.
- Klik Berikutnya, lalu klik Kirim.
Pertimbangan penting:
- Pembatasan kapasitas: Perhatikan batas kapasitas yang diberlakukan oleh Cortex XDR API. Konfigurasikan feed dengan benar agar tidak melebihi batas ini.
- Penanganan error: Terapkan penanganan error yang tepat dalam konfigurasi Google SecOps Anda untuk mengelola situasi saat Cortex XDR API tidak tersedia atau menampilkan error.
- Keamanan: Simpan kunci API dengan aman dan ikuti praktik terbaik keamanan. Lakukan rotasi kunci API secara berkala untuk meminimalkan dampak potensi penyusupan.
- Dokumentasi: Lihat dokumentasi Cortex XDR API resmi untuk mengetahui informasi mendetail tentang endpoint, parameter, dan format data yang tersedia.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
action |
security_result.action |
Jika action berisi "BLOCKED", tetapkan ke "BLOCK". |
action |
security_result.action_details |
Jika act tidak kosong, null, atau "none", gunakan nilai act. Jika tidak, jika action bukan "BLOCKED", gunakan nilai action. |
action_country |
security_result.about.location.country_or_region |
Pemetaan langsung. Juga digunakan di kolom events bertingkat. |
action_file_path |
target.resource.attribute.labels |
Membuat label dengan kunci "action_file_path" dan nilai dari kolom log. |
action_file_sha256 |
target.file.sha256 |
Mengonversi ke huruf kecil. |
action_local_port |
principal.port |
Mengonversi ke bilangan bulat. |
action_remote_ip |
target.ip |
Digabung ke dalam array target.ip. |
action_remote_ip |
target.asset.ip |
Digabung ke dalam array target.asset.ip. |
action_remote_port |
target.port |
Mengonversi ke bilangan bulat. |
act |
security_result.action_details |
Digunakan jika tidak kosong, null, atau "none". |
agent_data_collection_status |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
agent_device_domain |
target.administrative_domain |
Pemetaan langsung. |
agent_fqdn |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
agent_install_type |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
agent_is_vdi |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
agent_os_sub_type |
target.platform_version |
Pemetaan langsung. |
agent_os_type |
target.platform |
Jika "Windows", tetapkan ke "WINDOWS". |
agent_version |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
alert_id |
security_result.rule_id |
Pemetaan langsung. |
app |
target.application |
Pemetaan langsung. |
cat |
security_result.category_details |
Digabung ke dalam kolom security_result.category_details. |
category |
security_result.category |
Jika "Malware", tetapkan ke "SOFTWARE_MALICIOUS". |
category |
security_result.category_details |
Digabung ke dalam kolom security_result.category_details. |
cn1 |
network.session_id |
Pemetaan langsung. |
cn1Label |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
contains_featured_host |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
contains_featured_ip |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
contains_featured_user |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
creation_time |
metadata.event_timestamp |
Dikonversi menjadi stempel waktu. |
cs1 |
security_result.rule_name |
Dihubungkan dengan cs1Label untuk membentuk security_result.rule_name. |
cs1Label |
security_result.rule_name |
Dihubungkan dengan cs1 untuk membentuk security_result.rule_name. |
cs2 |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci dari cs2Label dan nilai string dari cs2. |
cs2Label |
additional.fields |
Digunakan sebagai kunci untuk nilai cs2 di additional.fields. |
cs3 |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci dari cs3Label dan nilai string dari cs3. |
cs3Label |
additional.fields |
Digunakan sebagai kunci untuk nilai cs3 di additional.fields. |
cs4 |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci dari cs4Label dan nilai string dari cs4. |
cs4Label |
additional.fields |
Digunakan sebagai kunci untuk nilai cs4 di additional.fields. |
cs5 |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci dari cs5Label dan nilai string dari cs5. |
cs5Label |
additional.fields |
Digunakan sebagai kunci untuk nilai cs5 di additional.fields. |
cs6 |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci dari cs6Label dan nilai string dari cs6. |
cs6Label |
additional.fields |
Digunakan sebagai kunci untuk nilai cs6 di additional.fields. |
CSPaccountname |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci "CSPaccountname" dan nilai string dari kolom log. |
description |
metadata.description |
Pemetaan langsung. Juga digunakan untuk security_result.description jika event_type bukan GENERIC_EVENT. |
destinationTranslatedAddress |
target.ip |
Digabung ke dalam array target.ip. |
destinationTranslatedAddress |
target.asset.ip |
Digabung ke dalam array target.asset.ip. |
destinationTranslatedPort |
target.port |
Dikonversi menjadi bilangan bulat jika tidak kosong atau -1. |
deviceExternalId |
security_result.about.asset_id |
Diawali dengan "Device External Id: ". |
dpt |
target.port |
Dikonversi menjadi bilangan bulat jika destinationTranslatedPort kosong atau -1. |
dst |
target.ip |
Digabung ke dalam array target.ip. |
dst |
target.asset.ip |
Digabung ke dalam array target.asset.ip. |
dst_agent_id |
target.ip |
Dikonversi menjadi alamat IP dan digabungkan ke dalam array target.ip jika IP valid. |
dst_agent_id |
target.asset.ip |
Dikonversi menjadi alamat IP dan digabungkan ke dalam array target.asset.ip jika IP valid. |
dvchost |
principal.hostname |
Pemetaan langsung. |
dvchost |
principal.asset.hostname |
Pemetaan langsung. |
endpoint_id |
target.process.product_specific_process_id |
Diawali dengan "cor:". |
event_id |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
event_sub_type |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
event_timestamp |
metadata.event_timestamp |
Dikonversi menjadi stempel waktu. Juga digunakan di kolom events bertingkat. |
event_type |
metadata.event_type |
Dipetakan ke jenis peristiwa UDM berdasarkan logika. Juga digunakan di kolom events bertingkat. |
event_type |
metadata.product_event_type |
Pemetaan langsung. |
event_type |
security_result.threat_name |
Pemetaan langsung. |
events |
Peristiwa Bertingkat | Kolom dalam array events dipetakan ke kolom UDM yang sesuai dalam objek events bertingkat. Lihat pemetaan kolom individual untuk mengetahui detailnya. |
external_id |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fileId |
target.resource.attribute.labels |
Membuat label dengan kunci "fileId" dan nilai dari kolom log. |
fileHash |
target.file.sha256 |
Dikonversi menjadi huruf kecil. Menetapkan metadata.event_type ke FILE_UNCATEGORIZED. |
filePath |
target.file.full_path |
Pemetaan langsung. Menetapkan metadata.event_type ke FILE_UNCATEGORIZED. |
fw_app_category |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_app_id |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_app_subcategory |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_app_technology |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_device_name |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_email_recipient |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_email_sender |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_email_subject |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_interface_from |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_interface_to |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_is_phishing |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_misc |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_rule |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_rule_id |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_serial_number |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_url_domain |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_vsys |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_xff |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
host_ip |
principal.ip |
Pisahkan dengan koma dan gabungkan ke dalam array principal.ip. |
host_ip |
principal.asset.ip |
Pisahkan dengan koma dan gabungkan ke dalam array principal.asset.ip. |
host_name |
principal.hostname |
Pemetaan langsung. |
host_name |
principal.asset.hostname |
Pemetaan langsung. |
hosts |
target.hostname |
Mengekstrak nama host dari elemen pertama array hosts. |
hosts |
target.asset.hostname |
Mengekstrak nama host dari elemen pertama array hosts. |
hosts |
target.user.employee_id |
Mengekstrak ID pengguna dari elemen pertama array hosts. |
incident_id |
metadata.product_log_id |
Pemetaan langsung. |
is_whitelisted |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
local_insert_ts |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
mac |
principal.mac |
Pisahkan dengan koma dan gabungkan ke dalam array principal.mac. |
matching_status |
Belum Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
metadata.description |
security_result.description |
Digunakan jika event_type adalah GENERIC_EVENT. |
metadata.event_type |
metadata.event_type |
Tetapkan berdasarkan logika menggunakan kolom event_type, host_ip, dan lainnya. |
metadata.log_type |
metadata.log_type |
Tetapkan ke "CORTEX_XDR". |
metadata.product_name |
metadata.product_name |
Tetapkan ke "Cortex". |
metadata.vendor_name |
metadata.vendor_name |
Tetapkan ke "Palo Alto Networks". |
msg |
security_result.description |
Pemetaan langsung. |
name |
security_result.summary |
Pemetaan langsung. |
PanOSDGHierarchyLevel1 |
security_result.detection_fields |
Membuat pasangan nilai kunci di security_result.detection_fields dengan kunci "PanOSDGHierarchyLevel1" dan nilai dari kolom log. |
PanOSDestinationLocation |
target.location.country_or_region |
Pemetaan langsung. |
PanOSDynamicUserGroupName |
principal.group.group_display_name |
Pemetaan langsung jika tidak kosong atau "-". |
PanOSSourceLocation |
principal.location.country_or_region |
Pemetaan langsung. |
PanOSThreatCategory |
security_result.category_details |
Digabung ke dalam kolom security_result.category_details. |
PanOSThreatID |
security_result.threat_id |
Pemetaan langsung. |
principal.asset.attribute.labels |
principal.asset.attribute.labels |
Membuat label dengan kunci "Sumber" dan nilai dari kolom source. |
proto |
network.ip_protocol |
Dikonversi ke huruf besar. Menetapkan metadata.event_type ke NETWORK_CONNECTION. |
request |
network.http.referral_url |
Pemetaan langsung. |
rt |
metadata.event_timestamp |
Dikonversi menjadi stempel waktu. |
security_result.severity |
security_result.severity |
Tetapkan ke nilai severity huruf besar. |
severity |
security_result.severity |
Dikonversi ke huruf besar. |
shost |
principal.hostname |
Pemetaan langsung. Menetapkan metadata.event_type ke STATUS_UPDATE. |
shost |
principal.asset.hostname |
Pemetaan langsung. Menetapkan metadata.event_type ke STATUS_UPDATE. |
source |
principal.asset.attribute.labels |
Digunakan sebagai nilai untuk label "Sumber". |
source |
security_result.summary |
Digunakan jika filter not_json dan grok cocok. |
sourceTranslatedAddress |
principal.ip |
Digabung ke dalam array principal.ip. |
sourceTranslatedAddress |
principal.asset.ip |
Digabung ke dalam array principal.asset.ip. |
sourceTranslatedPort |
principal.port |
Dikonversi menjadi bilangan bulat jika tidak kosong atau -1. |
spt |
principal.port |
Dikonversi ke bilangan bulat. |
sr_summary |
security_result.summary |
Digunakan jika filter not_json dan grok cocok. |
src |
principal.ip |
Digabung ke dalam array principal.ip. |
src |
principal.asset.ip |
Digabung ke dalam array principal.asset.ip. |
suser |
principal.user.user_display_name |
Pemetaan langsung. |
tenantCDLid |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci "tenantCDLid" dan nilai string dari kolom log. |
tenantname |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci "tenantname" dan nilai string dari kolom log. |
users |
target.user.userid |
Menggunakan elemen pertama dari array users. |
xdr_url |
metadata.url_back_to_product |
Pemetaan langsung. |
Perubahan
2024-07-05
- Memetakan "isInteractive" ke "security_result.detection_fields".
2024-04-02
- Memetakan "properties.createdDateTime" ke "metadata.event_timestamp".
- Memetakan "properties.resourceServicePrincipalId" dan "resourceServicePrincipalId" ke "target.resource.attribute.labels".
- Memetakan "properties.authenticationProcessingDetails", "authenticationProcessingDetails", dan "properties.networkLocationDetails" ke "additional.fields".
- Memetakan "properties.userAgent" ke "network.http.user_agent" dan "network.http.parsed_user_agent".
- Memetakan "properties.authenticationRequirement" ke "additional.fields".
2024-04-17
- Memetakan "action_local_port" ke "principal.port".
- Memetakan "dst_agent_id" ke "principal.ip".
- Memetakan "action_remote_ip" ke "target.ip".
- Memetakan "action_remote_port" ke "target.ip".
- Menambahkan pemeriksaan apakah "target_device" ada sebelum menetapkan "metadata.event_type" ke "NETWORK_CONNECTION".
2024-03-15
- Menambahkan Grok untuk mengambil "source" dan "sr_summary" dari header pesan.
- Memetakan "sr_summary" ke "security_result.summary".
2024-03-11
- Menambahkan dukungan untuk log format CEF.
- Memetakan "rt" ke "metadata.event_timestamp".
- Memetakan "category" dan "cat" ke "security_result.category_details".
- Memetakan "cs2Label", "cs2", "tenantname", "tenantCDLid", dan "CSPaccountname" ke "additional.fields".
- Memetakan "shost" ke "principal.hostname" dan "principal.asset.hostname".
- Memetakan "spt" ke "principal.port".
- Memetakan "src" ke "principal.ip" dan "principal.asset.ip".
- Memetakan "suser" ke "principal.user.user_display_name".
- Memetakan "dpt" ke "target.port".
- Memetakan "dst" ke "target.ip" dan "target.asset.ip".
- Memetakan "fileHash" ke "target.file.sha256".
- Memetakan "filePath" ke "target.file.full_path".
- Memetakan "request" ke "network.http.referral_url".
- Memetakan "msg" ke "security_result.description".
2024-01-18
- Mengubah pemetaan "action_file_path" dari "target.file.full_path" menjadi "target.resource.attribute.labels".
- Memetakan "domain" ke "target.asset.hostname".
- Memetakan "destinationTranslatedAddress" ke "target.asset.ip".
- Memetakan "host_name" ke "principal.asset.hostname".
- Memetakan "dvchost" ke "principal.asset.hostname".
- Memetakan "ip" ke "principal.asset.ip".
- Memetakan "sourceTranslatedAddress" ke "principal.asset.ip".
2023-11-10
- Jika "event_type" adalah "RPC Call", maka pemetaan "metadata.event_type" ke "STATUS_UPDATE".
- Memetakan "events.action_country" ke "security_result.about.location.country_or_region".
- Memetakan "events.actor_process_command_line" ke "target.process.command_line".
- Memetakan "events.actor_process_image_md5" ke "target.file.md5".
- Memetakan "events.actor_process_image_path" ke "target.file.full_path".
- Memetakan "events.actor_process_image_sha256" ke "target.file.sha256".
- Memetakan "events.actor_process_instance_id" ke "target.process.pid".
- Memetakan "events.os_actor_process_command_line" ke "principal.process.command_line".
- Memetakan "events.os_actor_process_image_path" ke "principal.file.full_path".
- Memetakan "events.os_actor_process_image_sha256" ke "principal.file.sha256".
- Memetakan "events.os_actor_process_instance_id" ke "principal.process.pid".
- Memetakan "events.causality_actor_process_command_line" ke "intermediary.process.command_line".
- Memetakan "events.causality_actor_process_image_path" ke "intermediary.file.full_path".
- Memetakan "events.causality_actor_process_image_sha256" ke "intermediary.file.sha256".
- Memetakan "events.causality_actor_process_instance_id" ke "intermediary.process.pid".
- Memetakan "events.causality_actor_process_image_md5" ke "intermediary.file.md5".
- Memetakan "events.event_type" ke "metadata.product_event_type".
- Memetakan "events.user_name" ke "principal.user.user_display_name".
2023-10-16
- Memetakan "source" ke "principal.asset.attribute.labels".
- Tetapkan "metadata.event_type" ke "NETWORK_CONNECTION" jika "event_type" di "Network Connections" atau "Network Event".
2022-11-03
- Memetakan "PanOSConfigVersion" ke "security_result.detection_fields".
- Memetakan "PanOSContentVersion" ke "security_result.detection_fields".
- Memetakan "PanOSDGHierarchyLevel1" ke "security_result.detection_fields".
- Memetakan "PanOSDestinationLocation" ke "target.location.country_or_region".
- Memetakan "PanOSDynamicUserGroupName" ke "principal.group.group_display_name".
- Memetakan "PanOSSourceLocation" ke "principal.location.country_or_region".
- Memetakan "PanOSThreatCategory" ke "security_result.category_details".
- Memetakan "PanOSThreatID" ke "security_result.threat_id".
- Memetakan "app" ke "target.application".
- Memetakan "cs1" ke "additional.fields".
- Memetakan "cs3" ke "additional.fields".
- Memetakan "cs4" ke "additional.fields".
- Memetakan "cs5" ke "additional.fields".
- Memetakan "cs6" ke "additional.fields".
- Memetakan "cn1" ke "additional.fields".
- Memetakan "sourceTranslatedPort" ke "principal.port".
- Memetakan "sourceTranslatedAddress" ke "principal.ip".
- Memetakan "destinationTranslatedAddress" ke "target.ip".
- Memetakan "destinationTranslatedPort" ke "target.port".
- Memetakan "act" ke "security_result.action_details".
- Memetakan "deviceExternalId" ke "security_result.about.asset_id".
- Memetakan "dvchost" ke "principal.hostname".
- Memetakan "proto" ke "network.ip_protocol".
- Memetakan "fileId" ke "target.resource.attribute.labels".