Palo Alto Cortex XDR のアラートログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フィードを設定して Palo Alto Cortex XDR アラート ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CORTEX_XDR が付加されたパーサーに適用されます。
Palo Alto Cortex XDR アラートを構成する
Palo Alto Cortex XDR アラートを構成するには、次のタスクを完了します。
- Palo Alto Cortex XDR アラート API キーを取得します。
- Palo Alto Cortex XDR アラート API キー ID を取得します。
- 完全修飾ドメイン名(FQDN)を取得する。
Palo Alto Cortex XDR アラート API キーを取得する
- Cortex XDR ポータルにログインします。
- [設定] メニューで [設定] をクリックします。
- [+ 新しいキー] を選択します。
- [セキュリティ レベル] セクションで、[詳細] を選択します。
- [ロール] セクションで、[閲覧者] を選択します。
- [生成] をクリックします。
- API キーをコピーし、[完了] をクリックします。API キーは、一意の認可キーを表し、作成時にのみ表示されます。Google Security Operations フィードを構成するときに必要です。
Palo Alto Cortex XDR アラート API キー ID を取得する
[構成] セクションで、[API キー] > [ID] に移動します。x-xdr-auth-id:{key_id} トークンを表す対応する ID 番号をメモします。
FQDN を取得する
- [API キー] に移動します。
- [URL をコピー] をクリックします。URL を保存します。これは、Google Security Operations フィードを構成するときに必要になります。
Palo Alto Cortex XDR のアラートログを取り込むように Google Security Operations でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New] をクリックします。
- [フィールド名] に一意の名前を入力します。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [Log Type] として [Palo Alto Cortex XDR Alerts] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- 認証 HTTP ヘッダー: 前の手順で取得した認可キーと認可キー ID を指定します。
- API ホスト名: 前に取得した URL を指定します。
- Endpoint: エンドポイントを指定します。
- [次へ] をクリックし、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。
フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、Palo Alto Networks Cortex XDR から JSON 形式または SYSLOG(Key-Value)形式でセキュリティ ログを抽出し、フィールドを正規化して UDM にマッピングします。JSON 形式と Key-Value 形式の両方を処理し、日付の抽出、メタデータによるデータの拡充、Google SecOps への取り込み用に出力の構造化を行います。
Cortex XDR で REST API リクエストを有効にして、Google SecOps フィードを構成する
このガイドでは、Cortex XDR で REST API リクエストを有効にし、Google SecOps で対応するフィードを構成する手順について説明します。
パート 1: Cortex XDR で REST API リクエストを有効にする
Cortex XDR は認証に API キーを使用します。API キーを生成する手順は次のとおりです。
- Cortex XDR 管理コンソールにログインします。
- [設定] に移動します。
- [API キー] にアクセスします。
- 新しい鍵を生成します。
- キー名を指定します(例: SecOps Integration)。
- 必要なデータにアクセスするために必要な権限を API キーに割り当てます。これはセキュリティに不可欠であり、キーが必要なものにのみアクセスできるようにします。ユースケースに必要な権限については、Cortex XDR のドキュメントをご覧ください。
- API キーを安全に保存します。これは、Google SecOps フィード構成に必要になります。キー全体が表示されるのはこのときのみです。必ずコピーしてください。
- (省略可)セキュリティを強化するために、API キーの有効期限を設定します。
パート 2: Google SecOps でフィードを構成する
API キーを生成したら、Cortex XDR からデータを受信するように Google SecOps でフィードを構成します。
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [ソースタイプ] として [サードパーティ API] を選択します。
- Cortex XDR から取り込むデータに対応する必要なログタイプを選択します。
- [次へ] をクリックします。
- 次の入力パラメータを構成します。
- API エンドポイント: Cortex XDR API のベース URL を入力します。これは、Cortex XDR API のドキュメントで確認できます。
- API Key: 前に生成した API キーを貼り付けます。
- その他のパラメータ: 使用している Cortex XDR API によっては、特定のデータフィルタや期間などの追加パラメータを指定する必要があります。詳細については、Cortex XDR API のドキュメントをご覧ください。
- [次へ] をクリックし、[送信] をクリックします。
重要な考慮事項:
- レート制限: Cortex XDR API によって適用されるレート制限に注意してください。これらの上限を超えないように、フィードに適切な設定をしてください。
- エラー処理: Google SecOps 構成に適切なエラー処理を実装して、Cortex XDR API が使用できない場合やエラーが返された場合の状況を管理します。
- セキュリティ: API キーを安全に保存し、セキュリティのベスト プラクティスに従います。潜在的な不正使用の影響を最小限に抑えるために、API キーを定期的にローテーションします。
- ドキュメント: 使用可能なエンドポイント、パラメータ、データ形式の詳細については、Cortex XDR API の公式ドキュメントをご覧ください。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
action |
security_result.action |
action に「BLOCKED」が含まれている場合は、「BLOCK」に設定します。 |
action |
security_result.action_details |
act が空でない場合、null でない場合、または「none」でない場合、act の値を使用します。それ以外の場合、action が「BLOCKED」でない場合、action の値を使用します。 |
action_country |
security_result.about.location.country_or_region |
直接マッピング。ネストされた events フィールドでも使用されます。 |
action_file_path |
target.resource.attribute.labels |
キー「action_file_path」とログフィールドの値を持つラベルを作成します。 |
action_file_sha256 |
target.file.sha256 |
小文字に変換します。 |
action_local_port |
principal.port |
整数に変換します。 |
action_remote_ip |
target.ip |
target.ip 配列に統合されました。 |
action_remote_ip |
target.asset.ip |
target.asset.ip 配列に統合されました。 |
action_remote_port |
target.port |
整数に変換します。 |
act |
security_result.action_details |
空、null、または「none」でない場合。 |
agent_data_collection_status |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
agent_device_domain |
target.administrative_domain |
直接マッピング。 |
agent_fqdn |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
agent_install_type |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
agent_is_vdi |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
agent_os_sub_type |
target.platform_version |
直接マッピング。 |
agent_os_type |
target.platform |
「Windows」の場合は、「WINDOWS」に設定します。 |
agent_version |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
alert_id |
security_result.rule_id |
直接マッピング。 |
app |
target.application |
直接マッピング。 |
cat |
security_result.category_details |
security_result.category_details フィールドに統合されました。 |
category |
security_result.category |
[マルウェア] の場合は、[SOFTWARE_MALICIOUS] に設定します。 |
category |
security_result.category_details |
security_result.category_details フィールドに統合されました。 |
cn1 |
network.session_id |
直接マッピング。 |
cn1Label |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
contains_featured_host |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
contains_featured_ip |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
contains_featured_user |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
creation_time |
metadata.event_timestamp |
タイムスタンプに変換されます。 |
cs1 |
security_result.rule_name |
cs1Label と連結して security_result.rule_name を形成します。 |
cs1Label |
security_result.rule_name |
cs1 と連結して security_result.rule_name を形成します。 |
cs2 |
additional.fields |
cs2Label のキーと cs2 の文字列値を使用して、additional.fields に Key-Value ペアを作成します。 |
cs2Label |
additional.fields |
additional.fields の cs2 値のキーとして使用されます。 |
cs3 |
additional.fields |
cs3Label のキーと cs3 の文字列値を使用して、additional.fields に Key-Value ペアを作成します。 |
cs3Label |
additional.fields |
additional.fields の cs3 値のキーとして使用されます。 |
cs4 |
additional.fields |
cs4Label のキーと cs4 の文字列値を使用して、additional.fields に Key-Value ペアを作成します。 |
cs4Label |
additional.fields |
additional.fields の cs4 値のキーとして使用されます。 |
cs5 |
additional.fields |
cs5Label のキーと cs5 の文字列値を使用して、additional.fields に Key-Value ペアを作成します。 |
cs5Label |
additional.fields |
additional.fields の cs5 値のキーとして使用されます。 |
cs6 |
additional.fields |
cs6Label のキーと cs6 の文字列値を使用して、additional.fields に Key-Value ペアを作成します。 |
cs6Label |
additional.fields |
additional.fields の cs6 値のキーとして使用されます。 |
CSPaccountname |
additional.fields |
additional.fields に Key-Value ペアを作成します。キーは「CSPaccountname」、値はログフィールドの文字列です。 |
description |
metadata.description |
直接マッピング。event_type が GENERIC_EVENT でない場合、security_result.description にも使用されます。 |
destinationTranslatedAddress |
target.ip |
target.ip 配列に統合されました。 |
destinationTranslatedAddress |
target.asset.ip |
target.asset.ip 配列に統合されました。 |
destinationTranslatedPort |
target.port |
空でない場合、整数に変換されます。空の場合は -1 になります。 |
deviceExternalId |
security_result.about.asset_id |
「Device External Id:」が接頭辞として付いています。 |
dpt |
target.port |
destinationTranslatedPort が空または -1 の場合、整数に変換されます。 |
dst |
target.ip |
target.ip 配列に統合されました。 |
dst |
target.asset.ip |
target.asset.ip 配列に統合されました。 |
dst_agent_id |
target.ip |
IP アドレスに変換され、有効な IP の場合は target.ip 配列に統合されます。 |
dst_agent_id |
target.asset.ip |
IP アドレスに変換され、有効な IP の場合は target.asset.ip 配列に統合されます。 |
dvchost |
principal.hostname |
直接マッピング。 |
dvchost |
principal.asset.hostname |
直接マッピング。 |
endpoint_id |
target.process.product_specific_process_id |
「cor:」が接頭辞です。 |
event_id |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
event_sub_type |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
event_timestamp |
metadata.event_timestamp |
タイムスタンプに変換されます。ネストされた events フィールドでも使用されます。 |
event_type |
metadata.event_type |
ロジックに基づいて UDM イベントタイプにマッピングされます。ネストされた events フィールドでも使用されます。 |
event_type |
metadata.product_event_type |
直接マッピング。 |
event_type |
security_result.threat_name |
直接マッピング。 |
events |
ネストされたイベント | events 配列内のフィールドは、ネストされた events オブジェクト内の対応する UDM フィールドにマッピングされます。詳しくは、個々のフィールド マッピングをご覧ください。 |
external_id |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fileId |
target.resource.attribute.labels |
キー「fileId」とログフィールドの値を持つラベルを作成します。 |
fileHash |
target.file.sha256 |
小文字に変換されます。metadata.event_type を FILE_UNCATEGORIZED に設定します。 |
filePath |
target.file.full_path |
直接マッピング。metadata.event_type を FILE_UNCATEGORIZED に設定します。 |
fw_app_category |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_app_id |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_app_subcategory |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_app_technology |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_device_name |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_email_recipient |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_email_sender |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_email_subject |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_interface_from |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_interface_to |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_is_phishing |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_misc |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_rule |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_rule_id |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_serial_number |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_url_domain |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_vsys |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_xff |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
host_ip |
principal.ip |
カンマで分割され、principal.ip 配列に結合されます。 |
host_ip |
principal.asset.ip |
カンマで分割され、principal.asset.ip 配列に結合されます。 |
host_name |
principal.hostname |
直接マッピング。 |
host_name |
principal.asset.hostname |
直接マッピング。 |
hosts |
target.hostname |
hosts 配列の最初の要素からホスト名を抽出します。 |
hosts |
target.asset.hostname |
hosts 配列の最初の要素からホスト名を抽出します。 |
hosts |
target.user.employee_id |
hosts 配列の最初の要素からユーザー ID を抽出します。 |
incident_id |
metadata.product_log_id |
直接マッピング。 |
is_whitelisted |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
local_insert_ts |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
mac |
principal.mac |
カンマで分割され、principal.mac 配列に結合されます。 |
matching_status |
マッピングなし | このフィールドは未加工のログに存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
metadata.description |
security_result.description |
event_type が GENERIC_EVENT の場合に使用されます。 |
metadata.event_type |
metadata.event_type |
event_type、host_ip などのフィールドを使用して論理に基づいて設定します。 |
metadata.log_type |
metadata.log_type |
「CORTEX_XDR」に設定します。 |
metadata.product_name |
metadata.product_name |
「Cortex」に設定します。 |
metadata.vendor_name |
metadata.vendor_name |
[Palo Alto Networks] に設定します。 |
msg |
security_result.description |
直接マッピング。 |
name |
security_result.summary |
直接マッピング。 |
PanOSDGHierarchyLevel1 |
security_result.detection_fields |
security_result.detection_fields に Key-Value ペアを作成します。キーは「PanOSDGHierarchyLevel1」、値はログフィールドの値です。 |
PanOSDestinationLocation |
target.location.country_or_region |
直接マッピング。 |
PanOSDynamicUserGroupName |
principal.group.group_display_name |
空でないか「-」でない場合、直接マッピング。 |
PanOSSourceLocation |
principal.location.country_or_region |
直接マッピング。 |
PanOSThreatCategory |
security_result.category_details |
security_result.category_details フィールドに統合されました。 |
PanOSThreatID |
security_result.threat_id |
直接マッピング。 |
principal.asset.attribute.labels |
principal.asset.attribute.labels |
キー「Source」と source フィールドの値を持つラベルを作成します。 |
proto |
network.ip_protocol |
大文字に変換されます。metadata.event_type を NETWORK_CONNECTION に設定します。 |
request |
network.http.referral_url |
直接マッピング。 |
rt |
metadata.event_timestamp |
タイムスタンプに変換されます。 |
security_result.severity |
security_result.severity |
severity の値を大文字に設定します。 |
severity |
security_result.severity |
大文字に変換されます。 |
shost |
principal.hostname |
直接マッピング。metadata.event_type を STATUS_UPDATE に設定します。 |
shost |
principal.asset.hostname |
直接マッピング。metadata.event_type を STATUS_UPDATE に設定します。 |
source |
principal.asset.attribute.labels |
[ソース] ラベルの値として使用されます。 |
source |
security_result.summary |
not_json と grok フィルタが一致する場合に使用されます。 |
sourceTranslatedAddress |
principal.ip |
principal.ip 配列に統合されました。 |
sourceTranslatedAddress |
principal.asset.ip |
principal.asset.ip 配列に統合されました。 |
sourceTranslatedPort |
principal.port |
空でない場合、整数に変換されます。空の場合は -1 になります。 |
spt |
principal.port |
整数に変換されます。 |
sr_summary |
security_result.summary |
not_json フィルタと grok フィルタが一致する場合に使用されます。 |
src |
principal.ip |
principal.ip 配列に統合されました。 |
src |
principal.asset.ip |
principal.asset.ip 配列に統合されました。 |
suser |
principal.user.user_display_name |
直接マッピング。 |
tenantCDLid |
additional.fields |
additional.fields に Key-Value ペアを作成します。キーは「tenantCDLid」、値はログフィールドの文字列です。 |
tenantname |
additional.fields |
additional.fields に Key-Value ペアを作成し、キーを「tenantname」、ログフィールドの文字列値を値にします。 |
users |
target.user.userid |
users 配列の最初の要素を使用します。 |
xdr_url |
metadata.url_back_to_product |
直接マッピング。 |
変更点
2024-07-05
- 「isInteractive」を「security_result.detection_fields」にマッピングしました。
2024-04-02
- 「properties.createdDateTime」を「metadata.event_timestamp」にマッピングしました。
- 「properties.resourceServicePrincipalId」と「resourceServicePrincipalId」を「target.resource.attribute.labels」にマッピングしました。
- 「properties.authenticationProcessingDetails」、「authenticationProcessingDetails」、「properties.networkLocationDetails」を「additional.fields」にマッピングしました。
- 「properties.userAgent」を「network.http.user_agent」と「network.http.parsed_user_agent」にマッピングしました。
- 「properties.authenticationRequirement」を「additional.fields」にマッピングしました。
2024-04-17
- 「action_local_port」を「principal.port」にマッピングしました。
- 「dst_agent_id」を「principal.ip」にマッピングしました。
- 「action_remote_ip」を「target.ip」にマッピングしました。
- 「action_remote_port」を「target.ip」にマッピングしました。
- 「metadata.event_type」を「NETWORK_CONNECTION」に設定する前に、「target_device」が存在するかどうかのチェックを追加しました。
2024-03-15
- メッセージ ヘッダーから「source」と「sr_summary」を取得する Grok を追加しました。
- 「sr_summary」を「security_result.summary」にマッピングしました。
2024-03-11
- CEF 形式のログのサポートを追加しました。
- 「rt」を「metadata.event_timestamp」にマッピングしました。
- 「category」と「cat」を「security_result.category_details」にマッピングしました。
- 「cs2Label」、「cs2」、「tenantname」、「tenantCDLid」、「CSPaccountname」を「additional.fields」にマッピングしました。
- 「shost」を「principal.hostname」と「principal.asset.hostname」にマッピングしました。
- 「spt」を「principal.port」にマッピングしました。
- 「src」を「principal.ip」と「principal.asset.ip」にマッピングしました。
- 「suser」を「principal.user.user_display_name」にマッピングしました。
- 「dpt」を「target.port」にマッピングしました。
- 「dst」を「target.ip」と「target.asset.ip」にマッピングしました。
- 「fileHash」を「target.file.sha256」にマッピングしました。
- 「filePath」を「target.file.full_path」にマッピングしました。
- 「request」を「network.http.referral_url」にマッピングしました。
- 「msg」を「security_result.description」にマッピングしました。
2024-01-18
- 「action_file_path」のマッピングを「target.file.full_path」から「target.resource.attribute.labels」に変更しました。
- 「domain」を「target.asset.hostname」にマッピングしました。
- 「destinationTranslatedAddress」を「target.asset.ip」にマッピングしました。
- 「host_name」を「principal.asset.hostname」にマッピングしました。
- 「dvchost」を「principal.asset.hostname」にマッピングしました。
- 「ip」を「principal.asset.ip」にマッピングしました。
- 「sourceTranslatedAddress」を「principal.asset.ip」にマッピングしました。
2023-11-10
- 「event_type」が「RPC Call」の場合、「metadata.event_type」を「STATUS_UPDATE」にマッピングしました。
- 「events.action_country」を「security_result.about.location.country_or_region」にマッピングしました。
- 「events.actor_process_command_line」を「target.process.command_line」にマッピングしました。
- 「events.actor_process_image_md5」を「target.file.md5」にマッピングしました。
- 「events.actor_process_image_path」を「target.file.full_path」にマッピングしました。
- 「events.actor_process_image_sha256」を「target.file.sha256」にマッピングしました。
- 「events.actor_process_instance_id」を「target.process.pid」にマッピングしました。
- 「events.os_actor_process_command_line」を「principal.process.command_line」にマッピングしました。
- 「events.os_actor_process_image_path」を「principal.file.full_path」にマッピングしました。
- 「events.os_actor_process_image_sha256」を「principal.file.sha256」にマッピングしました。
- 「events.os_actor_process_instance_id」を「principal.process.pid」にマッピングしました。
- 「events.causality_actor_process_command_line」を「intermediary.process.command_line」にマッピングしました。
- 「events.causality_actor_process_image_path」を「intermediary.file.full_path」にマッピングしました。
- 「events.causality_actor_process_image_sha256」を「intermediary.file.sha256」にマッピングしました。
- 「events.causality_actor_process_instance_id」を「intermediary.process.pid」にマッピングしました。
- 「events.causality_actor_process_image_md5」を「intermediary.file.md5」にマッピングしました。
- 「events.event_type」を「metadata.product_event_type」にマッピングしました。
- 「events.user_name」を「principal.user.user_display_name」にマッピングしました。
2023-10-16
- 「source」を「principal.asset.attribute.labels」にマッピングしました。
- 「event_type」が「Network Connections」または「Network Event」の場合、「metadata.event_type」を「NETWORK_CONNECTION」に設定。
2022-11-03
- 「PanOSConfigVersion」を「security_result.detection_fields」にマッピングしました。
- 「PanOSContentVersion」を「security_result.detection_fields」にマッピングしました。
- 「PanOSDGHierarchyLevel1」を「security_result.detection_fields」にマッピングしました。
- 「PanOSDestinationLocation」を「target.location.country_or_region」にマッピングしました。
- 「PanOSDynamicUserGroupName」を「principal.group.group_display_name」にマッピングしました。
- 「PanOSSourceLocation」を「principal.location.country_or_region」にマッピングしました。
- 「PanOSThreatCategory」を「security_result.category_details」にマッピングしました。
- 「PanOSThreatID」を「security_result.threat_id」にマッピングしました。
- 「app」を「target.application」にマッピングしました。
- 「cs1」を「additional.fields」にマッピングしました。
- 「cs3」を「additional.fields」にマッピングしました。
- 「cs4」を「additional.fields」にマッピングしました。
- 「cs5」を「additional.fields」にマッピングしました。
- 「cs6」を「additional.fields」にマッピングしました。
- 「cn1」を「additional.fields」にマッピングしました。
- 「sourceTranslatedPort」を「principal.port」にマッピングしました。
- 「sourceTranslatedAddress」を「principal.ip」にマッピングしました。
- 「destinationTranslatedAddress」を「target.ip」にマッピングしました。
- 「destinationTranslatedPort」を「target.port」にマッピングしました。
- 「act」を「security_result.action_details」にマッピングしました。
- 「deviceExternalId」を「security_result.about.asset_id」にマッピングしました。
- 「dvchost」を「principal.hostname」にマッピングしました。
- 「proto」を「network.ip_protocol」にマッピングしました。
- 「fileId」を「target.resource.attribute.labels」にマッピングしました。