Raccogliere i log degli avvisi di Palo Alto Cortex XDR
Supportato in:
Google SecOps
SIEM
Questo documento descrive come raccogliere i log degli avvisi di Palo Alto Cortex XDR impostando un feed di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione CORTEX_XDR.
Configurare gli avvisi di Palo Alto Cortex XDR
Per configurare gli avvisi di Palo Alto Cortex XDR, completa le seguenti attività:
- Ottieni la chiave API per gli avvisi di Palo Alto Cortex XDR.
- Ottieni l'ID chiave API per gli avvisi di Palo Alto Cortex XDR.
- Ottieni il nome di dominio completo (FQDN).
Ottieni la chiave API per gli avvisi di Palo Alto Cortex XDR
- Accedi al portale Cortex XDR.
- Nel menu Impostazioni, fai clic su Impostazioni.
- Seleziona +Nuova chiave.
- Nella sezione Livello di sicurezza, seleziona Avanzate.
- Nella sezione Ruoli, seleziona Visualizzatore.
- Fai clic su Genera.
- Copia la chiave API e fai clic su Fine. La chiave API rappresenta la tua chiave di autorizzazione univoca e viene visualizzata solo al momento della creazione. È obbligatorio quando configuri il feed di Google Security Operations.
Ottieni l'ID chiave API per gli avvisi di Palo Alto Cortex XDR
Nella sezione Configurazioni, vai a Chiavi API > ID. Prendi nota del corrispondente numero ID, che rappresenta il token x-xdr-auth-id:{key_id}.
Ottieni FQDN
- Vai a Chiavi API.
- Fai clic su Copia URL. Salva l'URL, che è obbligatorio quando configuri il feed di Google Security Operations.
Configura un feed in Google Security Operations per importare i log degli avvisi di Palo Alto Cortex XDR
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Add New (Aggiungi nuovo).
- Inserisci un nome univoco per il nome del campo.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Avvisi Palo Alto Cortex XDR come Tipo di log.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- Intestazioni HTTP di autenticazione: fornisci la chiave di autorizzazione e l'ID chiave di autorizzazione che hai ottenuto in precedenza.
- Nome host dell'API: fornisci l'URL ottenuto in precedenza.
- Endpoint: specifica l'endpoint.
- Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser estrae i log di sicurezza da Palo Alto Networks Cortex XDR in formato JSON o SYSLOG (chiave-valore), normalizza i campi e li mappa all'UDM. Gestisce i formati JSON e chiave-valore, esegue l'estrazione delle date, arricchisce i dati con metadati e struttura l'output per l'importazione in Google SecOps.
Abilita le richieste API REST su Cortex XDR e configura un feed Google SecOps
Questa guida fornisce istruzioni dettagliate per attivare le richieste dell'API REST su Cortex XDR e configurare un feed corrispondente in Google SecOps.
Parte 1: abilita le richieste API REST su Cortex XDR
Cortex XDR utilizza le chiavi API per l'autenticazione. Per generare una chiave API:
- Accedi alla console di gestione di Cortex XDR.
- Vai a Impostazioni.
- Accedi a Chiavi API.
- Genera una nuova chiave.
- Fornisci un nome per la chiave (ad esempio "Integrazione SecOps").
- Assegna alla chiave API le autorizzazioni necessarie per accedere ai dati richiesti. Questo è fondamentale per la sicurezza e garantisce che la chiave abbia accesso solo a ciò di cui ha bisogno. Consulta la documentazione di Cortex XDR per le autorizzazioni specifiche richieste per il tuo caso d'uso.
- Memorizza la chiave API in modo sicuro. Ti servirà per la configurazione del feed di Google SecOps. Questa è l'unica volta in cui vedrai la chiave completa, quindi assicurati di copiarla ora.
- (Facoltativo) Configura una data di scadenza per la chiave API per una maggiore sicurezza.
Parte 2: configura il feed in Google SecOps
Dopo aver generato la chiave API, configura il feed in Google SecOps per ricevere i dati da Cortex XDR:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona il tipo di log richiesto che corrisponde ai dati che vuoi importare da Cortex XDR.
- Fai clic su Avanti.
- Configura i seguenti parametri di input:
- Endpoint API: inserisci l'URL base per l'API Cortex XDR. Puoi trovarlo nella documentazione dell'API Cortex XDR.
- Chiave API: incolla la chiave API generata in precedenza.
- Altri parametri: a seconda dell'API Cortex XDR specifica in uso, potrebbe essere necessario fornire parametri aggiuntivi, ad esempio filtri di dati o intervalli di tempo specifici. Per informazioni dettagliate, consulta la documentazione dell'API Cortex XDR.
- Fai clic su Avanti e poi su Invia.
Considerazioni importanti:
- Limitazione della frequenza: tieni presente eventuali limiti di frequenza imposti dall'API Cortex XDR. Configura il feed di conseguenza per evitare di superare questi limiti.
- Gestione degli errori: implementa una gestione degli errori adeguata nella configurazione di Google SecOps per gestire le situazioni in cui l'API Cortex XDR non è disponibile o restituisce errori.
- Sicurezza: archivia in modo sicuro la chiave API e segui le best practice per la sicurezza. Ruota regolarmente le chiavi API per ridurre al minimo l'impatto di potenziali compromessi.
- Documentazione: consulta la documentazione ufficiale dell'API Cortex XDR per informazioni dettagliate su endpoint, parametri e formati di dati disponibili.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
action |
security_result.action |
Se action contiene "BLOCKED", imposta "BLOCK". |
action |
security_result.action_details |
Se act non è vuoto, null o "none", utilizza il valore di act. In caso contrario, se action non è "BLOCKED" (BLOccato), utilizza il valore di action. |
action_country |
security_result.about.location.country_or_region |
Mappatura diretta. Utilizzato anche nel campo events nidificato. |
action_file_path |
target.resource.attribute.labels |
Crea un'etichetta con la chiave "action_file_path" e il valore dal campo del log. |
action_file_sha256 |
target.file.sha256 |
Viene convertito in minuscolo. |
action_local_port |
principal.port |
Converte in numero intero. |
action_remote_ip |
target.ip |
Unito all'array target.ip. |
action_remote_ip |
target.asset.ip |
Unito all'array target.asset.ip. |
action_remote_port |
target.port |
Converte in numero intero. |
act |
security_result.action_details |
Da utilizzare se non vuoto, nullo o "none". |
agent_data_collection_status |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
agent_device_domain |
target.administrative_domain |
Mappatura diretta. |
agent_fqdn |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
agent_install_type |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
agent_is_vdi |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
agent_os_sub_type |
target.platform_version |
Mappatura diretta. |
agent_os_type |
target.platform |
Se "Windows", imposta "WINDOWS". |
agent_version |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
alert_id |
security_result.rule_id |
Mappatura diretta. |
app |
target.application |
Mappatura diretta. |
cat |
security_result.category_details |
Unito al campo security_result.category_details. |
category |
security_result.category |
Se "Malware", imposta "SOFTWARE_MALICIOUS". |
category |
security_result.category_details |
Unito al campo security_result.category_details. |
cn1 |
network.session_id |
Mappatura diretta. |
cn1Label |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
contains_featured_host |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
contains_featured_ip |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
contains_featured_user |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
creation_time |
metadata.event_timestamp |
Convertito in timestamp. |
cs1 |
security_result.rule_name |
Concatenato con cs1Label per formare il security_result.rule_name. |
cs1Label |
security_result.rule_name |
Concatenato con cs1 per formare il security_result.rule_name. |
cs2 |
additional.fields |
Crea una coppia chiave-valore in additional.fields con la chiave di cs2Label e il valore di stringa di cs2. |
cs2Label |
additional.fields |
Utilizzato come chiave per il valore cs2 in additional.fields. |
cs3 |
additional.fields |
Crea una coppia chiave-valore in additional.fields con la chiave di cs3Label e il valore di stringa di cs3. |
cs3Label |
additional.fields |
Utilizzato come chiave per il valore cs3 in additional.fields. |
cs4 |
additional.fields |
Crea una coppia chiave-valore in additional.fields con la chiave di cs4Label e il valore di stringa di cs4. |
cs4Label |
additional.fields |
Utilizzato come chiave per il valore cs4 in additional.fields. |
cs5 |
additional.fields |
Crea una coppia chiave-valore in additional.fields con la chiave di cs5Label e il valore di stringa di cs5. |
cs5Label |
additional.fields |
Utilizzato come chiave per il valore cs5 in additional.fields. |
cs6 |
additional.fields |
Crea una coppia chiave-valore in additional.fields con la chiave di cs6Label e il valore di stringa di cs6. |
cs6Label |
additional.fields |
Utilizzato come chiave per il valore cs6 in additional.fields. |
CSPaccountname |
additional.fields |
Crea una coppia chiave-valore in additional.fields con la chiave "CSPaccountname" e il valore di stringa dal campo del log. |
description |
metadata.description |
Mappatura diretta. Utilizzato anche per security_result.description se event_type non è GENERIC_EVENT. |
destinationTranslatedAddress |
target.ip |
Unito all'array target.ip. |
destinationTranslatedAddress |
target.asset.ip |
Unito all'array target.asset.ip. |
destinationTranslatedPort |
target.port |
Convertito in numero intero se non vuoto o -1. |
deviceExternalId |
security_result.about.asset_id |
Deve essere preceduto da "ID esterno dispositivo: ". |
dpt |
target.port |
Convertito in numero intero se destinationTranslatedPort è vuoto o -1. |
dst |
target.ip |
Unito all'array target.ip. |
dst |
target.asset.ip |
Unito all'array target.asset.ip. |
dst_agent_id |
target.ip |
Convertito in indirizzo IP e unito all'array target.ip se l'IP è valido. |
dst_agent_id |
target.asset.ip |
Convertito in indirizzo IP e unito all'array target.asset.ip se l'IP è valido. |
dvchost |
principal.hostname |
Mappatura diretta. |
dvchost |
principal.asset.hostname |
Mappatura diretta. |
endpoint_id |
target.process.product_specific_process_id |
Deve essere preceduto dal prefisso "cor:". |
event_id |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
event_sub_type |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
event_timestamp |
metadata.event_timestamp |
Convertito in timestamp. Utilizzato anche nel campo events nidificato. |
event_type |
metadata.event_type |
Mappato a un tipo di evento UDM in base alla logica. Utilizzato anche nel campo events nidificato. |
event_type |
metadata.product_event_type |
Mappatura diretta. |
event_type |
security_result.threat_name |
Mappatura diretta. |
events |
Eventi nidificati | I campi all'interno dell'array events vengono mappati ai campi UDM corrispondenti all'interno degli oggetti events nidificati. Per informazioni dettagliate, consulta le singole mappature dei campi. |
external_id |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fileId |
target.resource.attribute.labels |
Crea un'etichetta con la chiave "fileId" e il valore dal campo del log. |
fileHash |
target.file.sha256 |
Convertito in minuscolo. Imposta metadata.event_type su FILE_UNCATEGORIZED. |
filePath |
target.file.full_path |
Mappatura diretta. Imposta metadata.event_type su FILE_UNCATEGORIZED. |
fw_app_category |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_app_id |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_app_subcategory |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_app_technology |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_device_name |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_email_recipient |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_email_sender |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_email_subject |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_interface_from |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_interface_to |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_is_phishing |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_misc |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_rule |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_rule_id |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_serial_number |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_url_domain |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_vsys |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
fw_xff |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
host_ip |
principal.ip |
Dividi per virgola e unisci nell'array principal.ip. |
host_ip |
principal.asset.ip |
Dividi per virgola e unisci nell'array principal.asset.ip. |
host_name |
principal.hostname |
Mappatura diretta. |
host_name |
principal.asset.hostname |
Mappatura diretta. |
hosts |
target.hostname |
Estrae il nome host dal primo elemento dell'array hosts. |
hosts |
target.asset.hostname |
Estrae il nome host dal primo elemento dell'array hosts. |
hosts |
target.user.employee_id |
Estrae l'ID utente dal primo elemento dell'array hosts. |
incident_id |
metadata.product_log_id |
Mappatura diretta. |
is_whitelisted |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
local_insert_ts |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
mac |
principal.mac |
Dividi per virgola e unisci nell'array principal.mac. |
matching_status |
Nessuna mappatura | Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale. |
metadata.description |
security_result.description |
Utilizzato se event_type è GENERIC_EVENT. |
metadata.event_type |
metadata.event_type |
Impostato in base a una logica che utilizza event_type, host_ip e altri campi. |
metadata.log_type |
metadata.log_type |
Impostato su "CORTEX_XDR". |
metadata.product_name |
metadata.product_name |
Imposta su "Cortex". |
metadata.vendor_name |
metadata.vendor_name |
Imposta su "Palo Alto Networks". |
msg |
security_result.description |
Mappatura diretta. |
name |
security_result.summary |
Mappatura diretta. |
PanOSDGHierarchyLevel1 |
security_result.detection_fields |
Crea una coppia chiave-valore in security_result.detection_fields con la chiave "PanOSDGHierarchyLevel1" e il valore dal campo del log. |
PanOSDestinationLocation |
target.location.country_or_region |
Mappatura diretta. |
PanOSDynamicUserGroupName |
principal.group.group_display_name |
Mappatura diretta se non vuota o "-". |
PanOSSourceLocation |
principal.location.country_or_region |
Mappatura diretta. |
PanOSThreatCategory |
security_result.category_details |
Unito al campo security_result.category_details. |
PanOSThreatID |
security_result.threat_id |
Mappatura diretta. |
principal.asset.attribute.labels |
principal.asset.attribute.labels |
Crea un'etichetta con chiave "Origine" e valore dal campo source. |
proto |
network.ip_protocol |
Convertito in maiuscolo. Imposta metadata.event_type su NETWORK_CONNECTION. |
request |
network.http.referral_url |
Mappatura diretta. |
rt |
metadata.event_timestamp |
Convertito in timestamp. |
security_result.severity |
security_result.severity |
Imposta il valore in maiuscolo di severity. |
severity |
security_result.severity |
Convertito in maiuscolo. |
shost |
principal.hostname |
Mappatura diretta. Imposta metadata.event_type su STATUS_UPDATE. |
shost |
principal.asset.hostname |
Mappatura diretta. Imposta metadata.event_type su STATUS_UPDATE. |
source |
principal.asset.attribute.labels |
Utilizzato come valore per l'etichetta "Origine". |
source |
security_result.summary |
Utilizzato se i filtri not_json e grok corrispondono. |
sourceTranslatedAddress |
principal.ip |
Unito all'array principal.ip. |
sourceTranslatedAddress |
principal.asset.ip |
Unito all'array principal.asset.ip. |
sourceTranslatedPort |
principal.port |
Convertito in numero intero se non vuoto o -1. |
spt |
principal.port |
Convertito in numero intero. |
sr_summary |
security_result.summary |
Utilizzato se i filtri not_json e grok corrispondono. |
src |
principal.ip |
Unito all'array principal.ip. |
src |
principal.asset.ip |
Unito all'array principal.asset.ip. |
suser |
principal.user.user_display_name |
Mappatura diretta. |
tenantCDLid |
additional.fields |
Crea una coppia chiave-valore in additional.fields con la chiave "tenantCDLid" e il valore di stringa dal campo del log. |
tenantname |
additional.fields |
Crea una coppia chiave-valore in additional.fields con la chiave "tenantname" e il valore stringa dal campo del log. |
users |
target.user.userid |
Utilizza il primo elemento dell'array users. |
xdr_url |
metadata.url_back_to_product |
Mappatura diretta. |
Modifiche
2024-07-05
- "isInteractive" è stato mappato a "security_result.detection_fields".
2024-04-02
- "properties.createdDateTime" è stato mappato a "metadata.event_timestamp".
- "properties.resourceServicePrincipalId" e "resourceServicePrincipalId" sono stati mappati a "target.resource.attribute.labels".
- "properties.authenticationProcessingDetails", "authenticationProcessingDetails" e "properties.networkLocationDetails" sono stati mappati a "additional.fields".
- "properties.userAgent" è stato mappato a "network.http.user_agent" e "network.http.parsed_user_agent".
- "properties.authenticationRequirement" è stato mappato a "additional.fields".
2024-04-17
- "action_local_port" è stato mappato a "principal.port".
- "dst_agent_id" è stato mappato a "principal.ip".
- "action_remote_ip" è stato mappato a "target.ip".
- "action_remote_port" è stato mappato a "target.ip".
- È stato aggiunto il controllo se "target_device" è presente prima di impostare "metadata.event_type" su "NETWORK_CONNECTION".
2024-03-15
- È stato aggiunto un pattern Grok per recuperare "source" e "sr_summary" dall'intestazione del messaggio.
- "sr_summary" è stato mappato a "security_result.summary".
2024-03-11
- È stato aggiunto il supporto per i log nel formato CEF.
- "rt" è stato mappato a "metadata.event_timestamp".
- Ho mappato "category" e "cat" a "security_result.category_details".
- "cs2Label", "cs2", "tenantname", "tenantCDLid" e "CSPaccountname" sono stati mappati a "additional.fields".
- "shost" è stato mappato a "principal.hostname" e "principal.asset.hostname".
- "spt" è stato mappato a "principal.port".
- "src" è stato mappato a "principal.ip" e "principal.asset.ip".
- "suser" è stato mappato a "principal.user.user_display_name".
- "dpt" è stato mappato a "target.port".
- "dst" è stato mappato a "target.ip" e "target.asset.ip".
- "fileHash" è stato mappato a "target.file.sha256".
- "filePath" è stato mappato a "target.file.full_path".
- "request" è stato mappato a "network.http.referral_url".
- "msg" è stato mappato a "security_result.description".
2024-01-18
- È stata modificata la mappatura di "action_file_path" da "target.file.full_path" a "target.resource.attribute.labels".
- "domain" è stato mappato a "target.asset.hostname".
- "destinationTranslatedAddress" è stato mappato a "target.asset.ip".
- "host_name" è stato mappato a "principal.asset.hostname".
- "dvchost" è stato mappato a "principal.asset.hostname".
- "ip" è stato mappato a "principal.asset.ip".
- "sourceTranslatedAddress" è stato mappato a "principal.asset.ip".
2023-11-10
- Quando "event_type" è "RPC Call", mappa "metadata.event_type" a "STATUS_UPDATE".
- "events.action_country" è stato mappato a "security_result.about.location.country_or_region".
- "events.actor_process_command_line" è stato mappato a "target.process.command_line".
- "events.actor_process_image_md5" è stato mappato a "target.file.md5".
- "events.actor_process_image_path" è stato mappato a "target.file.full_path".
- "events.actor_process_image_sha256" è stato mappato a "target.file.sha256".
- "events.actor_process_instance_id" è stato mappato a "target.process.pid".
- "events.os_actor_process_command_line" è stato mappato a "principal.process.command_line".
- "events.os_actor_process_image_path" è stato mappato a "principal.file.full_path".
- "events.os_actor_process_image_sha256" è stato mappato a "principal.file.sha256".
- "events.os_actor_process_instance_id" è stato mappato a "principal.process.pid".
- "events.causality_actor_process_command_line" è stato mappato a "intermediary.process.command_line".
- "events.causality_actor_process_image_path" è stato mappato a "intermediary.file.full_path".
- È stato mappato "events.causality_actor_process_image_sha256" a "intermediary.file.sha256".
- "events.causality_actor_process_instance_id" è stato mappato a "intermediary.process.pid".
- "events.causality_actor_process_image_md5" è stato mappato a "intermediary.file.md5".
- "events.event_type" è stato mappato a "metadata.product_event_type".
- "events.user_name" è stato mappato a "principal.user.user_display_name".
2023-10-16
- "source" è stato mappato a "principal.asset.attribute.labels".
- Imposta "metadata.event_type" su "NETWORK_CONNECTION" se "event_type" è in "Network Connections" o "Network Event".
2022-11-03
- "PanOSConfigVersion" è stato mappato a "security_result.detection_fields".
- "PanOSContentVersion" è stato mappato a "security_result.detection_fields".
- "PanOSDGHierarchyLevel1" è stato mappato a "security_result.detection_fields".
- "PanOSDestinationLocation" è stato mappato a "target.location.country_or_region".
- "PanOSDynamicUserGroupName" è stato mappato a "principal.group.group_display_name".
- "PanOSSourceLocation" è stato mappato a "principal.location.country_or_region".
- "PanOSThreatCategory" è stato mappato a "security_result.category_details".
- "PanOSThreatID" è stato mappato a "security_result.threat_id".
- "app" è stato mappato a "target.application".
- "cs1" è stato mappato a "additional.fields".
- "cs3" è stato mappato a "additional.fields".
- "cs4" è stato mappato a "additional.fields".
- "cs5" è stato mappato a "additional.fields".
- "cs6" è stato mappato a "additional.fields".
- "cn1" è stato mappato a "additional.fields".
- "sourceTranslatedPort" è stato mappato a "principal.port".
- "sourceTranslatedAddress" è stato mappato a "principal.ip".
- "destinationTranslatedAddress" è stato mappato a "target.ip".
- "destinationTranslatedPort" è stato mappato a "target.port".
- "act" è stato mappato a "security_result.action_details".
- "deviceExternalId" è stato mappato a "security_result.about.asset_id".
- "dvchost" è stato mappato a "principal.hostname".
- "proto" è stato mappato a "network.ip_protocol".
- "fileId" è stato mappato a "target.resource.attribute.labels".