이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Palo Alto Cortex XDR 알림 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 피드를 설정하여 Palo Alto Cortex XDR 알림 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CORTEX_XDR 수집 라벨이 있는 파서에 적용됩니다.

Palo Alto Cortex XDR 알림 구성

Palo Alto Cortex XDR 알림을 구성하려면 다음 작업을 완료하세요.

Palo Alto Cortex XDR 알림 API 키 가져오기

Cortex XDR 포털에 로그인합니다.
설정 메뉴에서 설정을 클릭합니다.
+새 키를 선택합니다.
보안 수준 섹션에서 고급을 선택합니다.
역할 섹션에서 뷰어를 선택합니다.
생성을 클릭합니다.
API 키를 복사하고 완료를 클릭합니다. API 키는 고유한 승인 키를 나타내며 생성 시점에만 표시됩니다. Google Security Operations 피드를 구성할 때 필요합니다.

Palo Alto Cortex XDR 알림 API 키 ID 가져오기

구성 섹션에서 API 키 > ID로 이동합니다. x-xdr-auth-id:{key_id} 토큰을 나타내는 상응하는 ID 번호를 확인합니다.

FQDN 가져오기

API 키로 이동합니다.
URL 복사를 클릭합니다. Google Security Operations 피드를 구성할 때 필요한 URL을 저장합니다.

Palo Alto Cortex XDR 알림 로그를 수집하도록 Google Security Operations에서 피드 구성

SIEM 설정 > 피드로 이동합니다.
새 항목 추가를 클릭합니다.
필드 이름의 고유한 이름을 입력합니다.
소스 유형으로 서드 파티 API를 선택합니다.
로그 유형으로 Palo Alto Cortex XDR 알림을 선택합니다.
다음을 클릭합니다.
다음 필수 입력 매개변수를 구성합니다.
- 인증 HTTP 헤더: 이전에 가져온 인증 키 및 인증 키 ID를 제공합니다.
- API 호스트 이름: 이전에 가져온 URL을 입력합니다.
- 엔드포인트: 엔드포인트를 지정합니다.
다음을 클릭한 후 제출을 클릭합니다.

Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참고하세요.

피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 Palo Alto Networks Cortex XDR에서 JSON 또는 SYSLOG (키-값) 형식의 보안 로그를 추출하고, 필드를 표준화한 후 UDM에 매핑합니다. JSON 및 키-값 형식을 모두 처리하고, 날짜 추출을 실행하고, 메타데이터로 데이터를 보강하며, Google SecOps로 처리하기 위해 출력을 구성합니다.

Cortex XDR에서 REST API 요청 사용 설정 및 Google SecOps 피드 구성

이 가이드에서는 Cortex XDR에서 REST API 요청을 사용 설정하고 Google SecOps에서 상응하는 피드를 구성하는 방법을 단계별로 안내합니다.

1단계: Cortex XDR에서 REST API 요청 사용 설정

Cortex XDR은 인증에 API 키를 사용합니다. API 키를 생성하려면 다음 단계를 따르세요.

Cortex XDR 관리 콘솔에 로그인합니다.
설정으로 이동합니다.
API 키에 액세스합니다.
새 키를 생성합니다.
키 이름을 입력합니다 (예: 'SecOps 통합').
API 키에 필요한 데이터에 액세스하는 데 필요한 권한을 할당합니다. 이는 보안상 매우 중요하며 키가 필요한 항목에만 액세스할 수 있도록 합니다. 사용 사례에 필요한 특정 권한은 Cortex XDR 문서를 참고하세요.
API 키를 안전하게 저장합니다. Google SecOps 피드 구성에 필요합니다. 전체 키는 이번 한 번만 표시되므로 지금 복사해 두세요.
(선택사항) 보안 강화를 위해 API 키의 만료일을 구성합니다.

2단계: Google SecOps에서 피드 구성

API 키를 생성한 후 Cortex XDR에서 데이터를 수신하도록 Google SecOps에서 피드를 구성합니다.

SIEM 설정 > 피드로 이동합니다.
새로 추가를 클릭합니다.
소스 유형으로 서드 파티 API를 선택합니다.
Cortex XDR에서 처리하려는 데이터에 해당하는 필수 로그 유형을 선택합니다.
다음을 클릭합니다.
다음 입력 매개변수를 구성합니다.
- API 엔드포인트: Cortex XDR API의 기본 URL을 입력합니다. 이는 Cortex XDR API 문서에서 확인할 수 있습니다.
- API 키: 이전에 생성한 API 키를 붙여넣습니다.
- 기타 매개변수: 사용하는 특정 Cortex XDR API에 따라 특정 데이터 필터 또는 기간과 같은 추가 매개변수를 제공해야 할 수도 있습니다. 자세한 내용은 Cortex XDR API 문서를 참고하세요.
다음을 클릭한 후 제출을 클릭합니다.

중요한 고려사항:

비율 제한: Cortex XDR API에서 적용하는 비율 제한에 유의하세요. 이러한 한도를 초과하지 않도록 피드를 구성하세요.
오류 처리: Google SecOps 구성에 적절한 오류 처리를 구현하여 Cortex XDR API를 사용할 수 없거나 오류를 반환하는 상황을 관리합니다.
보안: API 키를 안전하게 저장하고 보안 권장사항을 따르세요. API 키를 정기적으로 순환하여 잠재적인 손상의 영향을 최소화합니다.
문서: 사용 가능한 엔드포인트, 매개변수, 데이터 형식에 관한 자세한 내용은 공식 Cortex XDR API 문서를 참고하세요.

UDM 매핑 표

로그 필드	UDM 매핑	논리
`action`	`security_result.action`	`action`에 'BLOCKED'가 포함된 경우 'BLOCK'으로 설정합니다.
`action`	`security_result.action_details`	`act`가 비어 있거나 null 또는 'none'이 아닌 경우 `act`의 값을 사용합니다. `action`이 'BLOCKED'가 아닌 경우 `action`의 값을 사용합니다.
`action_country`	`security_result.about.location.country_or_region`	직접 매핑 중첩된 `events` 필드에서도 사용됩니다.
`action_file_path`	`target.resource.attribute.labels`	로그 필드에서 키가 'action_file_path'이고 값이 있는 라벨을 만듭니다.
`action_file_sha256`	`target.file.sha256`	소문자로 변환합니다.
`action_local_port`	`principal.port`	정수로 변환합니다.
`action_remote_ip`	`target.ip`	`target.ip` 배열에 병합되었습니다.
`action_remote_ip`	`target.asset.ip`	`target.asset.ip` 배열에 병합되었습니다.
`action_remote_port`	`target.port`	정수로 변환합니다.
`act`	`security_result.action_details`	비어 있지 않거나 null 또는 '없음'이 아닌 경우에 사용됩니다.
`agent_data_collection_status`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`agent_device_domain`	`target.administrative_domain`	직접 매핑
`agent_fqdn`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`agent_install_type`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`agent_is_vdi`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`agent_os_sub_type`	`target.platform_version`	직접 매핑
`agent_os_type`	`target.platform`	'Windows'인 경우 'WINDOWS'로 설정합니다.
`agent_version`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`alert_id`	`security_result.rule_id`	직접 매핑
`app`	`target.application`	직접 매핑
`cat`	`security_result.category_details`	`security_result.category_details` 필드에 병합되었습니다.
`category`	`security_result.category`	'멀웨어'인 경우 'SOFTWARE_MALICIOUS'로 설정합니다.
`category`	`security_result.category_details`	`security_result.category_details` 필드에 병합되었습니다.
`cn1`	`network.session_id`	직접 매핑
`cn1Label`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`contains_featured_host`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`contains_featured_ip`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`contains_featured_user`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`creation_time`	`metadata.event_timestamp`	타임스탬프로 변환됩니다.
`cs1`	`security_result.rule_name`	`cs1Label`와 연결되어 `security_result.rule_name`을 형성합니다.
`cs1Label`	`security_result.rule_name`	`cs1`와 연결되어 `security_result.rule_name`을 형성합니다.
`cs2`	`additional.fields`	`cs2Label`의 키와 `cs2`의 문자열 값으로 `additional.fields`에 키-값 쌍을 만듭니다.
`cs2Label`	`additional.fields`	`additional.fields`의 `cs2` 값에 대한 키로 사용됩니다.
`cs3`	`additional.fields`	`cs3Label`의 키와 `cs3`의 문자열 값으로 `additional.fields`에 키-값 쌍을 만듭니다.
`cs3Label`	`additional.fields`	`additional.fields`의 `cs3` 값에 대한 키로 사용됩니다.
`cs4`	`additional.fields`	`cs4Label`의 키와 `cs4`의 문자열 값으로 `additional.fields`에 키-값 쌍을 만듭니다.
`cs4Label`	`additional.fields`	`additional.fields`의 `cs4` 값에 대한 키로 사용됩니다.
`cs5`	`additional.fields`	`cs5Label`의 키와 `cs5`의 문자열 값으로 `additional.fields`에 키-값 쌍을 만듭니다.
`cs5Label`	`additional.fields`	`additional.fields`의 `cs5` 값에 대한 키로 사용됩니다.
`cs6`	`additional.fields`	`cs6Label`의 키와 `cs6`의 문자열 값으로 `additional.fields`에 키-값 쌍을 만듭니다.
`cs6Label`	`additional.fields`	`additional.fields`의 `cs6` 값에 대한 키로 사용됩니다.
`CSPaccountname`	`additional.fields`	`additional.fields`에 키 'CSPaccountname'과 로그 필드의 문자열 값으로 키-값 쌍을 만듭니다.
`description`	`metadata.description`	직접 매핑 `event_type`가 GENERIC_EVENT가 아닌 경우 `security_result.description`에도 사용됩니다.
`destinationTranslatedAddress`	`target.ip`	`target.ip` 배열에 병합되었습니다.
`destinationTranslatedAddress`	`target.asset.ip`	`target.asset.ip` 배열에 병합되었습니다.
`destinationTranslatedPort`	`target.port`	비어 있지 않으면 정수로 변환되며, 비어 있으면 -1입니다.
`deviceExternalId`	`security_result.about.asset_id`	'기기 외부 ID: '가 접두사로 추가됩니다.
`dpt`	`target.port`	`destinationTranslatedPort`가 비어 있거나 -1인 경우 정수로 변환됩니다.
`dst`	`target.ip`	`target.ip` 배열에 병합되었습니다.
`dst`	`target.asset.ip`	`target.asset.ip` 배열에 병합되었습니다.
`dst_agent_id`	`target.ip`	유효한 IP인 경우 IP 주소로 변환되고 `target.ip` 배열에 병합됩니다.
`dst_agent_id`	`target.asset.ip`	유효한 IP인 경우 IP 주소로 변환되고 `target.asset.ip` 배열에 병합됩니다.
`dvchost`	`principal.hostname`	직접 매핑
`dvchost`	`principal.asset.hostname`	직접 매핑
`endpoint_id`	`target.process.product_specific_process_id`	접두사는 'cor:'입니다.
`event_id`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`event_sub_type`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`event_timestamp`	`metadata.event_timestamp`	타임스탬프로 변환됩니다. 중첩된 `events` 필드에서도 사용됩니다.
`event_type`	`metadata.event_type`	로직에 따라 UDM 이벤트 유형에 매핑됩니다. 중첩된 `events` 필드에서도 사용됩니다.
`event_type`	`metadata.product_event_type`	직접 매핑
`event_type`	`security_result.threat_name`	직접 매핑
`events`	중첩 이벤트	`events` 배열 내 필드는 중첩된 `events` 객체 내의 상응하는 UDM 필드에 매핑됩니다. 자세한 내용은 개별 필드 매핑을 참고하세요.
`external_id`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fileId`	`target.resource.attribute.labels`	로그 필드의 키가 'fileId'이고 값이 있는 라벨을 만듭니다.
`fileHash`	`target.file.sha256`	소문자로 변환됩니다. `metadata.event_type`를 FILE_UNCATEGORIZED로 설정합니다.
`filePath`	`target.file.full_path`	직접 매핑 `metadata.event_type`를 FILE_UNCATEGORIZED로 설정합니다.
`fw_app_category`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_app_id`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_app_subcategory`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_app_technology`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_device_name`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_email_recipient`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_email_sender`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_email_subject`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_interface_from`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_interface_to`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_is_phishing`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_misc`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_rule`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_rule_id`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_serial_number`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_url_domain`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_vsys`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`fw_xff`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`host_ip`	`principal.ip`	쉼표로 구분하여 `principal.ip` 배열에 병합했습니다.
`host_ip`	`principal.asset.ip`	쉼표로 구분하여 `principal.asset.ip` 배열에 병합했습니다.
`host_name`	`principal.hostname`	직접 매핑
`host_name`	`principal.asset.hostname`	직접 매핑
`hosts`	`target.hostname`	`hosts` 배열의 첫 번째 요소에서 호스트 이름을 추출합니다.
`hosts`	`target.asset.hostname`	`hosts` 배열의 첫 번째 요소에서 호스트 이름을 추출합니다.
`hosts`	`target.user.employee_id`	`hosts` 배열의 첫 번째 요소에서 사용자 ID를 추출합니다.
`incident_id`	`metadata.product_log_id`	직접 매핑
`is_whitelisted`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`local_insert_ts`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`mac`	`principal.mac`	쉼표로 구분하여 `principal.mac` 배열에 병합했습니다.
`matching_status`	매핑되지 않음	이 필드는 원시 로그에 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
`metadata.description`	`security_result.description`	`event_type`이 GENERIC_EVENT인 경우 사용됩니다.
`metadata.event_type`	`metadata.event_type`	`event_type`, `host_ip`, 기타 필드를 사용하는 로직에 따라 설정합니다.
`metadata.log_type`	`metadata.log_type`	'CORTEX_XDR'로 설정합니다.
`metadata.product_name`	`metadata.product_name`	'Cortex'로 설정합니다.
`metadata.vendor_name`	`metadata.vendor_name`	'Palo Alto Networks'로 설정합니다.
`msg`	`security_result.description`	직접 매핑
`name`	`security_result.summary`	직접 매핑
`PanOSDGHierarchyLevel1`	`security_result.detection_fields`	`security_result.detection_fields`에 키가 'PanOSDGHierarchyLevel1'이고 값이 로그 필드인 키-값 쌍을 만듭니다.
`PanOSDestinationLocation`	`target.location.country_or_region`	직접 매핑
`PanOSDynamicUserGroupName`	`principal.group.group_display_name`	비어 있지 않거나 '-'이 아닌 경우 직접 매핑입니다.
`PanOSSourceLocation`	`principal.location.country_or_region`	직접 매핑
`PanOSThreatCategory`	`security_result.category_details`	`security_result.category_details` 필드에 병합되었습니다.
`PanOSThreatID`	`security_result.threat_id`	직접 매핑
`principal.asset.attribute.labels`	`principal.asset.attribute.labels`	`source` 필드의 키 'Source' 및 값으로 라벨을 만듭니다.
`proto`	`network.ip_protocol`	대문자로 변환됩니다. `metadata.event_type`를 NETWORK_CONNECTION으로 설정합니다.
`request`	`network.http.referral_url`	직접 매핑
`rt`	`metadata.event_timestamp`	타임스탬프로 변환됩니다.
`security_result.severity`	`security_result.severity`	`severity`의 대문자 값으로 설정합니다.
`severity`	`security_result.severity`	대문자로 변환됩니다.
`shost`	`principal.hostname`	직접 매핑 `metadata.event_type`를 STATUS_UPDATE로 설정합니다.
`shost`	`principal.asset.hostname`	직접 매핑 `metadata.event_type`를 STATUS_UPDATE로 설정합니다.
`source`	`principal.asset.attribute.labels`	'소스' 라벨의 값으로 사용됩니다.
`source`	`security_result.summary`	`not_json` 및 `grok` 필터가 일치하는 경우에 사용됩니다.
`sourceTranslatedAddress`	`principal.ip`	`principal.ip` 배열에 병합되었습니다.
`sourceTranslatedAddress`	`principal.asset.ip`	`principal.asset.ip` 배열에 병합되었습니다.
`sourceTranslatedPort`	`principal.port`	비어 있지 않으면 정수로 변환되며, 비어 있으면 -1입니다.
`spt`	`principal.port`	정수로 변환됩니다.
`sr_summary`	`security_result.summary`	`not_json` 및 `grok` 필터가 일치하는 경우에 사용됩니다.
`src`	`principal.ip`	`principal.ip` 배열에 병합되었습니다.
`src`	`principal.asset.ip`	`principal.asset.ip` 배열에 병합되었습니다.
`suser`	`principal.user.user_display_name`	직접 매핑
`tenantCDLid`	`additional.fields`	`additional.fields`에 키가 'tenantCDLid'이고 로그 필드의 문자열 값인 키-값 쌍을 만듭니다.
`tenantname`	`additional.fields`	`additional.fields`에 키가 'tenantname'이고 로그 필드의 문자열 값인 키-값 쌍을 만듭니다.
`users`	`target.user.userid`	`users` 배열의 첫 번째 요소를 사용합니다.
`xdr_url`	`metadata.url_back_to_product`	직접 매핑

변경사항

2024-07-05

'isInteractive'가 'security_result.detection_fields'에 매핑되었습니다.

2024-04-02

'properties.createdDateTime'이 'metadata.event_timestamp'에 매핑되었습니다.
'properties.resourceServicePrincipalId' 및 'resourceServicePrincipalId'가 'target.resource.attribute.labels'에 매핑되었습니다.
'properties.authenticationProcessingDetails', 'authenticationProcessingDetails', 'properties.networkLocationDetails'가 'additional.fields'에 매핑되었습니다.
'properties.userAgent'가 'network.http.user_agent' 및 'network.http.parsed_user_agent'에 매핑되었습니다.
'properties.authenticationRequirement'가 'additional.fields'에 매핑되었습니다.

2024-04-17

'action_local_port'가 'principal.port'에 매핑되었습니다.
'dst_agent_id'가 'principal.ip'에 매핑되었습니다.
'action_remote_ip'가 'target.ip'에 매핑되었습니다.
'action_remote_port'가 'target.ip'에 매핑되었습니다.
'metadata.event_type'을 'NETWORK_CONNECTION'으로 설정하기 전에 'target_device'가 있는지 확인하는 코드를 추가했습니다.

2024-03-15

메일 헤더에서 'source' 및 'sr_summary'를 검색하는 Grok을 추가했습니다.
'sr_summary'가 'security_result.summary'에 매핑되었습니다.

2024-03-11

CEF 형식 로그에 대한 지원이 추가되었습니다.
'rt'가 'metadata.event_timestamp'에 매핑되었습니다.
'category' 및 'cat'이 'security_result.category_details'에 매핑되었습니다.
'cs2Label', 'cs2', 'tenantname', 'tenantCDLid', 'CSPaccountname'이 'additional.fields'에 매핑되었습니다.
'shost'가 'principal.hostname' 및 'principal.asset.hostname'에 매핑되었습니다.
'spt'가 'principal.port'에 매핑되었습니다.
'src'가 'principal.ip' 및 'principal.asset.ip'에 매핑되었습니다.
'suser'가 'principal.user.user_display_name'에 매핑되었습니다.
'dpt'가 'target.port'에 매핑되었습니다.
'dst'가 'target.ip' 및 'target.asset.ip'에 매핑되었습니다.
'fileHash'가 'target.file.sha256'에 매핑되었습니다.
'filePath'가 'target.file.full_path'에 매핑되었습니다.
'request'가 'network.http.referral_url'에 매핑되었습니다.
'msg'가 'security_result.description'에 매핑되었습니다.

2024-01-18

'action_file_path' 매핑을 'target.file.full_path'에서 'target.resource.attribute.labels'로 변경했습니다.
'domain'이 'target.asset.hostname'에 매핑되었습니다.
'destinationTranslatedAddress'가 'target.asset.ip'에 매핑되었습니다.
'host_name'이 'principal.asset.hostname'에 매핑되었습니다.
'dvchost'가 'principal.asset.hostname'에 매핑되었습니다.
'ip'가 'principal.asset.ip'에 매핑되었습니다.
'sourceTranslatedAddress'가 'principal.asset.ip'에 매핑되었습니다.

2023-11-10

'event_type'이 'RPC Call'인 경우 'metadata.event_type'이 'STATUS_UPDATE'에 매핑되었습니다.
'events.action_country'가 'security_result.about.location.country_or_region'에 매핑되었습니다.
'events.actor_process_command_line'이 'target.process.command_line'에 매핑되었습니다.
'events.actor_process_image_md5'가 'target.file.md5'에 매핑되었습니다.
'events.actor_process_image_path'가 'target.file.full_path'에 매핑되었습니다.
'events.actor_process_image_sha256'이 'target.file.sha256'에 매핑되었습니다.
'events.actor_process_instance_id'가 'target.process.pid'에 매핑되었습니다.
'events.os_actor_process_command_line'이 'principal.process.command_line'에 매핑되었습니다.
'events.os_actor_process_image_path'가 'principal.file.full_path'에 매핑되었습니다.
'events.os_actor_process_image_sha256'이 'principal.file.sha256'에 매핑되었습니다.
'events.os_actor_process_instance_id'가 'principal.process.pid'에 매핑되었습니다.
'events.causality_actor_process_command_line'이 'intermediary.process.command_line'에 매핑되었습니다.
'events.causality_actor_process_image_path'가 'intermediary.file.full_path'에 매핑되었습니다.
'events.causality_actor_process_image_sha256'이 'intermediary.file.sha256'에 매핑되었습니다.
'events.causality_actor_process_instance_id'가 'intermediary.process.pid'에 매핑되었습니다.
'events.causality_actor_process_image_md5'가 'intermediary.file.md5'에 매핑되었습니다.
'events.event_type'이 'metadata.product_event_type'에 매핑되었습니다.
'events.user_name'이 'principal.user.user_display_name'에 매핑되었습니다.

2023-10-16

'source'가 'principal.asset.attribute.labels'에 매핑되었습니다.
'네트워크 연결' 또는 '네트워크 이벤트'의 'event_type'이면 'metadata.event_type'을 'NETWORK_CONNECTION'으로 설정합니다.

2022-11-03

'PanOSConfigVersion'이 'security_result.detection_fields'에 매핑되었습니다.
'PanOSContentVersion'이 'security_result.detection_fields'에 매핑되었습니다.
'PanOSDGHierarchyLevel1'이 'security_result.detection_fields'에 매핑되었습니다.
'PanOSDestinationLocation'이 'target.location.country_or_region'에 매핑되었습니다.
'PanOSDynamicUserGroupName'이 'principal.group.group_display_name'에 매핑되었습니다.
'PanOSSourceLocation'이 'principal.location.country_or_region'에 매핑되었습니다.
'PanOSThreatCategory'가 'security_result.category_details'에 매핑되었습니다.
'PanOSThreatID'가 'security_result.threat_id'에 매핑되었습니다.
'app'이 'target.application'에 매핑되었습니다.
'cs1'이 'additional.fields'에 매핑되었습니다.
'cs3'가 'additional.fields'에 매핑되었습니다.
'cs4'가 'additional.fields'에 매핑되었습니다.
'cs5'가 'additional.fields'에 매핑되었습니다.
'cs6'가 'additional.fields'에 매핑되었습니다.
'cn1'이 'additional.fields'에 매핑되었습니다.
'sourceTranslatedPort'가 'principal.port'에 매핑되었습니다.
'sourceTranslatedAddress'가 'principal.ip'에 매핑되었습니다.
'destinationTranslatedAddress'가 'target.ip'에 매핑되었습니다.
'destinationTranslatedPort'가 'target.port'에 매핑되었습니다.
'act'가 'security_result.action_details'에 매핑되었습니다.
'deviceExternalId'가 'security_result.about.asset_id'에 매핑되었습니다.
'dvchost'가 'principal.hostname'에 매핑되었습니다.
'proto'가 'network.ip_protocol'에 매핑되었습니다.
'fileId'가 'target.resource.attribute.labels'에 매핑되었습니다.