Coletar registros de alertas do Palo Alto Cortex XDR
Compatível com:
Google SecOps
SIEM
Este documento descreve como coletar registros de alertas do Palo Alto Cortex XDR configurando um feed do Google Security Operations.
Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos
para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador
com o rótulo de transferência CORTEX_XDR.
Configurar alertas do Palo Alto Cortex XDR
Para configurar alertas do Palo Alto Cortex XDR, conclua as seguintes tarefas:
- Receba a chave da API de alertas do Palo Alto Cortex XDR.
- Receba o ID da chave da API de alertas do Palo Alto Cortex XDR.
- Conferir o nome de domínio totalmente qualificado (FQDN).
Receber a chave da API de alertas do Palo Alto Cortex XDR
- Faça login no portal do Cortex XDR.
- No menu Configurações, clique em Configurações.
- Selecione +Nova chave.
- Na seção Nível de segurança, selecione Avançado.
- Na seção Papéis, selecione Leitor.
- Clique em Gerar.
- Copie a chave de API e clique em Concluído. A chave de API representa sua chave de autorização exclusiva e é exibida apenas no momento da criação. Ela é necessária ao configurar o feed do Google Security Operations.
Acessar o ID da chave da API de alertas do Palo Alto Cortex XDR
Na seção Configurações, navegue até Chaves de API > ID. Anote o número de ID correspondente, que representa o token x-xdr-auth-id:{key_id}.
Receber FQDN
- Navegue até Chaves de API.
- Clique em Copiar URL. Salve o URL, que é necessário ao configurar o feed do Google Security Operations.
Configurar um feed no Google Security Operations para ingerir registros de alertas do Palo Alto Cortex XDR
- Acesse Configurações do SIEM > Feeds.
- Clique em Add New.
- Insira um nome exclusivo para o Nome do campo.
- Selecione API de terceiros como o Tipo de origem.
- Selecione Alertas do Palo Alto Cortex XDR como o Tipo de registro.
- Clique em Próxima.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Cabeçalhos HTTP de autenticação: forneça a chave de autorização e o ID da chave de autorização que você recebeu anteriormente.
- Nome do host da API: informe o URL que você recebeu anteriormente.
- Endpoint: especifique o endpoint.
- Clique em Próxima e em Enviar.
Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feeds por tipo.
Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.
Referência do mapeamento de campo
Esse analisador extrai registros de segurança do Palo Alto Networks Cortex XDR no formato JSON ou SYSLOG (chave-valor), normaliza campos e os mapeia para o UDM. Ele processa formatos JSON e de chave-valor, realiza a extração de data, enriquece os dados com metadados e estrutura a saída para ingestão no Google SecOps.
Ativar solicitações da API REST no Cortex XDR e configurar um feed do Google SecOps
Este guia fornece instruções detalhadas para ativar solicitações da API REST no Cortex XDR e configurar um feed correspondente no Google SecOps.
Parte 1: ativar solicitações da API REST no Cortex XDR
O Cortex XDR usa chaves de API para autenticação. Siga estas etapas para gerar uma chave de API:
- Faça login no console de gerenciamento do Cortex XDR.
- Acesse Configurações.
- Acesse as chaves de API.
- Gere uma nova chave.
- Informe um nome de chave (por exemplo, "Integração do SecOps").
- Atribua à chave de API as permissões necessárias para acessar os dados necessários. Isso é crucial para a segurança e garante que a chave só tenha acesso ao que precisa. Consulte a documentação do Cortex XDR para saber quais são as permissões específicas necessárias para seu caso de uso.
- Armazene a chave de API com segurança. Você vai precisar dele para configurar o feed do Google SecOps. Esta é a única vez que você vai ver a chave completa. Portanto, copie-a agora.
- (Opcional) Configure uma data de validade para a chave de API para aumentar a segurança.
Parte 2: configurar o feed no Google SecOps
Depois de gerar a chave de API, configure o feed no Google SecOps para receber dados do Cortex XDR:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- Selecione API de terceiros como o Tipo de origem.
- Selecione o tipo de registro necessário que corresponde aos dados que você quer importar do Cortex XDR.
- Clique em Próxima.
- Configure os seguintes parâmetros de entrada:
- Endpoint da API: insira o URL base da API Cortex XDR. Ela pode ser encontrada na documentação da API Cortex XDR.
- Chave de API: cole a chave de API gerada anteriormente.
- Outros parâmetros: dependendo da API Cortex XDR específica que você está usando, talvez seja necessário fornecer outros parâmetros, como filtros de dados específicos ou intervalos de tempo. Consulte a documentação da API Cortex XDR para mais detalhes.
- Clique em Próxima e em Enviar.
Considerações importantes:
- Limitação de taxa: observe os limites de taxa impostos pela API Cortex XDR. Configure o feed de forma adequada para evitar exceder esses limites.
- Processamento de erros: implemente tratamento de erros adequado na configuração do Google SecOps para gerenciar situações em que a API Cortex XDR não está disponível ou retorna erros.
- Segurança: armazene a chave de API com segurança e siga as práticas recomendadas de segurança. Rotacione as chaves de API regularmente para minimizar o impacto de possíveis comprometimentos.
- Documentação: consulte a documentação oficial da API Cortex XDR para informações detalhadas sobre os endpoints, parâmetros e formatos de dados disponíveis.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
action |
security_result.action |
Se action contiver "BLOCKED", defina como "BLOCK". |
action |
security_result.action_details |
Se act não estiver vazio, nulo ou "nenhum", use o valor de act. Caso contrário, se action não for "BLOCKED", use o valor de action. |
action_country |
security_result.about.location.country_or_region |
Mapeamento direto. Também usado no campo events aninhado. |
action_file_path |
target.resource.attribute.labels |
Cria um rótulo com a chave "action_file_path" e o valor do campo de registro. |
action_file_sha256 |
target.file.sha256 |
Converte para letras minúsculas. |
action_local_port |
principal.port |
Converte em número inteiro. |
action_remote_ip |
target.ip |
Mesclado na matriz target.ip. |
action_remote_ip |
target.asset.ip |
Mesclado na matriz target.asset.ip. |
action_remote_port |
target.port |
Converte em número inteiro. |
act |
security_result.action_details |
Usado se não estiver vazio, nulo ou "nenhum". |
agent_data_collection_status |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
agent_device_domain |
target.administrative_domain |
Mapeamento direto. |
agent_fqdn |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
agent_install_type |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
agent_is_vdi |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
agent_os_sub_type |
target.platform_version |
Mapeamento direto. |
agent_os_type |
target.platform |
Se for "Windows", defina como "WINDOWS". |
agent_version |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
alert_id |
security_result.rule_id |
Mapeamento direto. |
app |
target.application |
Mapeamento direto. |
cat |
security_result.category_details |
Mesclado com o campo security_result.category_details. |
category |
security_result.category |
Se for "Malware", defina como "SOFTWARE_MALICIOUS". |
category |
security_result.category_details |
Mesclado com o campo security_result.category_details. |
cn1 |
network.session_id |
Mapeamento direto. |
cn1Label |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
contains_featured_host |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
contains_featured_ip |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
contains_featured_user |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
creation_time |
metadata.event_timestamp |
Convertido em carimbo de data/hora. |
cs1 |
security_result.rule_name |
Concatenado com cs1Label para formar o security_result.rule_name. |
cs1Label |
security_result.rule_name |
Concatenado com cs1 para formar o security_result.rule_name. |
cs2 |
additional.fields |
Cria um par de chave-valor em additional.fields com a chave de cs2Label e o valor de string de cs2. |
cs2Label |
additional.fields |
Usado como a chave para o valor cs2 em additional.fields. |
cs3 |
additional.fields |
Cria um par de chave-valor em additional.fields com a chave de cs3Label e o valor de string de cs3. |
cs3Label |
additional.fields |
Usado como a chave para o valor cs3 em additional.fields. |
cs4 |
additional.fields |
Cria um par de chave-valor em additional.fields com a chave de cs4Label e o valor de string de cs4. |
cs4Label |
additional.fields |
Usado como a chave para o valor cs4 em additional.fields. |
cs5 |
additional.fields |
Cria um par de chave-valor em additional.fields com a chave de cs5Label e o valor de string de cs5. |
cs5Label |
additional.fields |
Usado como a chave para o valor cs5 em additional.fields. |
cs6 |
additional.fields |
Cria um par de chave-valor em additional.fields com a chave de cs6Label e o valor de string de cs6. |
cs6Label |
additional.fields |
Usado como a chave para o valor cs6 em additional.fields. |
CSPaccountname |
additional.fields |
Cria um par de chave-valor em additional.fields com a chave "CSPaccountname" e o valor da string do campo de registro. |
description |
metadata.description |
Mapeamento direto. Também usado para security_result.description se event_type não for GENERIC_EVENT. |
destinationTranslatedAddress |
target.ip |
Mesclado à matriz target.ip. |
destinationTranslatedAddress |
target.asset.ip |
Mesclado à matriz target.asset.ip. |
destinationTranslatedPort |
target.port |
Convertido em número inteiro se não estiver vazio ou -1. |
deviceExternalId |
security_result.about.asset_id |
Prefixado com "ID externo do dispositivo: ". |
dpt |
target.port |
Convertido em número inteiro se destinationTranslatedPort estiver vazio ou -1. |
dst |
target.ip |
Mesclado na matriz target.ip. |
dst |
target.asset.ip |
Mesclado na matriz target.asset.ip. |
dst_agent_id |
target.ip |
Convertido em endereço IP e mesclado na matriz target.ip se o IP for válido. |
dst_agent_id |
target.asset.ip |
Convertido em endereço IP e mesclado na matriz target.asset.ip se o IP for válido. |
dvchost |
principal.hostname |
Mapeamento direto. |
dvchost |
principal.asset.hostname |
Mapeamento direto. |
endpoint_id |
target.process.product_specific_process_id |
Prefixado com "cor:". |
event_id |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
event_sub_type |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
event_timestamp |
metadata.event_timestamp |
Convertido em carimbo de data/hora. Também usado no campo events aninhado. |
event_type |
metadata.event_type |
Mapeado para um tipo de evento do UDM com base na lógica. Também usado no campo events aninhado. |
event_type |
metadata.product_event_type |
Mapeamento direto. |
event_type |
security_result.threat_name |
Mapeamento direto. |
events |
Eventos aninhados | Os campos na matriz events são mapeados para os campos UDM correspondentes em objetos events aninhados. Consulte os mapeamentos de campo individuais para mais detalhes. |
external_id |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fileId |
target.resource.attribute.labels |
Cria um rótulo com a chave "fileId" e o valor do campo de registro. |
fileHash |
target.file.sha256 |
Convertido em letras minúsculas. Define metadata.event_type como FILE_UNCATEGORIZED. |
filePath |
target.file.full_path |
Mapeamento direto. Define metadata.event_type como FILE_UNCATEGORIZED. |
fw_app_category |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_app_id |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_app_subcategory |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_app_technology |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_device_name |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_email_recipient |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_email_sender |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_email_subject |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_interface_from |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_interface_to |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_is_phishing |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_misc |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_rule |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_rule_id |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_serial_number |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_url_domain |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_vsys |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
fw_xff |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
host_ip |
principal.ip |
Dividido por vírgula e mesclado na matriz principal.ip. |
host_ip |
principal.asset.ip |
Dividido por vírgula e mesclado na matriz principal.asset.ip. |
host_name |
principal.hostname |
Mapeamento direto. |
host_name |
principal.asset.hostname |
Mapeamento direto. |
hosts |
target.hostname |
Extrai o nome do host do primeiro elemento da matriz hosts. |
hosts |
target.asset.hostname |
Extrai o nome do host do primeiro elemento da matriz hosts. |
hosts |
target.user.employee_id |
Extrai o ID do usuário do primeiro elemento da matriz hosts. |
incident_id |
metadata.product_log_id |
Mapeamento direto. |
is_whitelisted |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
local_insert_ts |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
mac |
principal.mac |
Dividido por vírgula e mesclado na matriz principal.mac. |
matching_status |
Não mapeado | Embora esteja presente no registro bruto, esse campo não é mapeado para o objeto IDM no UDM final. |
metadata.description |
security_result.description |
Usado se event_type for GENERIC_EVENT. |
metadata.event_type |
metadata.event_type |
Definir com base na lógica usando event_type, host_ip e outros campos. |
metadata.log_type |
metadata.log_type |
Defina como "CORTEX_XDR". |
metadata.product_name |
metadata.product_name |
Defina como "Cortex". |
metadata.vendor_name |
metadata.vendor_name |
Defina como "Palo Alto Networks". |
msg |
security_result.description |
Mapeamento direto. |
name |
security_result.summary |
Mapeamento direto. |
PanOSDGHierarchyLevel1 |
security_result.detection_fields |
Cria um par de chave-valor em security_result.detection_fields com a chave "PanOSDGHierarchyLevel1" e o valor do campo de registro. |
PanOSDestinationLocation |
target.location.country_or_region |
Mapeamento direto. |
PanOSDynamicUserGroupName |
principal.group.group_display_name |
Mapeamento direto se não estiver vazio ou "-". |
PanOSSourceLocation |
principal.location.country_or_region |
Mapeamento direto. |
PanOSThreatCategory |
security_result.category_details |
Mesclado com o campo security_result.category_details. |
PanOSThreatID |
security_result.threat_id |
Mapeamento direto. |
principal.asset.attribute.labels |
principal.asset.attribute.labels |
Cria um rótulo com a chave "Source" e o valor do campo source. |
proto |
network.ip_protocol |
Convertido em letras maiúsculas. Define metadata.event_type como NETWORK_CONNECTION. |
request |
network.http.referral_url |
Mapeamento direto. |
rt |
metadata.event_timestamp |
Convertido em carimbo de data/hora. |
security_result.severity |
security_result.severity |
Defina o valor de severity como maiúsculo. |
severity |
security_result.severity |
Convertido em letras maiúsculas. |
shost |
principal.hostname |
Mapeamento direto. Define metadata.event_type como STATUS_UPDATE. |
shost |
principal.asset.hostname |
Mapeamento direto. Define metadata.event_type como STATUS_UPDATE. |
source |
principal.asset.attribute.labels |
Usado como o valor do rótulo "Origem". |
source |
security_result.summary |
Usado se o filtro not_json e grok corresponder. |
sourceTranslatedAddress |
principal.ip |
Mesclado à matriz principal.ip. |
sourceTranslatedAddress |
principal.asset.ip |
Mesclado à matriz principal.asset.ip. |
sourceTranslatedPort |
principal.port |
Convertido em número inteiro se não estiver vazio ou -1. |
spt |
principal.port |
Convertido em número inteiro. |
sr_summary |
security_result.summary |
Usado se o filtro not_json e grok corresponder. |
src |
principal.ip |
Mesclado à matriz principal.ip. |
src |
principal.asset.ip |
Mesclado à matriz principal.asset.ip. |
suser |
principal.user.user_display_name |
Mapeamento direto. |
tenantCDLid |
additional.fields |
Cria um par de chave-valor em additional.fields com a chave "tenantCDLid" e o valor da string do campo de registro. |
tenantname |
additional.fields |
Cria um par de chave-valor em additional.fields com a chave "tenantname" e o valor da string do campo de registro. |
users |
target.user.userid |
Usa o primeiro elemento da matriz users. |
xdr_url |
metadata.url_back_to_product |
Mapeamento direto. |
Alterações
2024-07-05
- "isInteractive" foi mapeado para "security_result.detection_fields".
2024-04-02
- "properties.createdDateTime" foi mapeado para "metadata.event_timestamp".
- Mapeou "properties.resourceServicePrincipalId" e "resourceServicePrincipalId" para "target.resource.attribute.labels".
- Mapeamos "properties.authenticationProcessingDetails", "authenticationProcessingDetails" e "properties.networkLocationDetails" para "additional.fields".
- "properties.userAgent" foi mapeado para "network.http.user_agent" e "network.http.parsed_user_agent".
- Mapeamos "properties.authenticationRequirement" para "additional.fields".
2024-04-17
- "action_local_port" foi mapeado para "principal.port".
- "dst_agent_id" foi associado a "principal.ip".
- "action_remote_ip" foi mapeado para "target.ip".
- "action_remote_port" foi mapeado para "target.ip".
- Foi adicionada uma verificação se "target_device" está presente antes de definir "metadata.event_type" como "NETWORK_CONNECTION".
2024-03-15
- Um Grok foi adicionado para extrair "source" e "sr_summary" do cabeçalho da mensagem.
- Mapeamos "sr_summary" para "security_result.summary".
2024-03-11
- Adicionamos suporte a registros no formato CEF.
- "rt" foi associado a "metadata.event_timestamp".
- Mapeamos "category" e "cat" para "security_result.category_details".
- Os campos "cs2Label", "cs2", "tenantname", "tenantCDLid" e "CSPaccountname" foram mapeados para "additional.fields".
- "Shost" foi mapeado para "principal.hostname" e "principal.asset.hostname".
- "Spt" foi mapeado para "principal.port".
- O "src" foi mapeado para "principal.ip" e "principal.asset.ip".
- "Suser" foi mapeado para "principal.user.user_display_name".
- Mapeamos "dpt" para "target.port".
- Mapeamos "dst" para "target.ip" e "target.asset.ip".
- "fileHash" foi mapeado para "target.file.sha256".
- "filePath" foi mapeado para "target.file.full_path".
- "request" foi mapeado para "network.http.referral_url".
- "msg" foi associado a "security_result.description".
2024-01-18
- O mapeamento "action_file_path" mudou de "target.file.full_path" para "target.resource.attribute.labels".
- "domain" foi mapeado para "target.asset.hostname".
- Mapeamos "destinationTranslatedAddress" para "target.asset.ip".
- "host_name" foi mapeado para "principal.asset.hostname".
- "dvchost" foi mapeado para "principal.asset.hostname".
- Mapeamos "ip" para "principal.asset.ip".
- "sourceTranslatedAddress" foi mapeado para "principal.asset.ip".
2023-11-10
- Quando "event_type" é "RPC Call", "metadata.event_type" é mapeado para "STATUS_UPDATE".
- "events.action_country" foi associado a "security_result.about.location.country_or_region".
- "events.actor_process_command_line" foi associado a "target.process.command_line".
- "events.actor_process_image_md5" foi associado a "target.file.md5".
- "events.actor_process_image_path" foi associado a "target.file.full_path".
- "events.actor_process_image_sha256" foi associado a "target.file.sha256".
- "events.actor_process_instance_id" foi associado a "target.process.pid".
- "events.os_actor_process_command_line" foi associado a "principal.process.command_line".
- "events.os_actor_process_image_path" foi associado a "principal.file.full_path".
- "events.os_actor_process_image_sha256" foi associado a "principal.file.sha256".
- "events.os_actor_process_instance_id" foi associado a "principal.process.pid".
- "events.causality_actor_process_command_line" foi associado a "intermediary.process.command_line".
- "events.causality_actor_process_image_path" foi associado a "intermediary.file.full_path".
- "events.causality_actor_process_image_sha256" foi mapeado para "intermediary.file.sha256".
- "events.causality_actor_process_instance_id" foi associado a "intermediary.process.pid".
- "events.causality_actor_process_image_md5" foi associado a "intermediary.file.md5".
- "events.event_type" foi associado a "metadata.product_event_type".
- "events.user_name" foi mapeado para "principal.user.user_display_name".
2023-10-16
- Mapeamos "source" para "principal.asset.attribute.labels".
- Defina "metadata.event_type" como "NETWORK_CONNECTION" se "event_type" estiver em "Conexões de rede" ou "Evento de rede".
2022-11-03
- "PanOSConfigVersion" foi mapeado para "security_result.detection_fields".
- Mapeamos "PanOSContentVersion" para "security_result.detection_fields".
- Mapeamos "PanOSDGHierarchyLevel1" para "security_result.detection_fields".
- Mapeamos "PanOSDestinationLocation" para "target.location.country_or_region".
- "PanOSDynamicUserGroupName" foi mapeado para "principal.group.group_display_name".
- "PanOSSourceLocation" foi mapeado para "principal.location.country_or_region".
- "PanOSThreatCategory" foi associado a "security_result.category_details".
- Mapeamos "PanOSThreatID" para "security_result.threat_id".
- Mapeamos "app" para "target.application".
- "cs1" foi associado a "additional.fields".
- Mapeou "cs3" para "additional.fields".
- Mapeou "cs4" para "additional.fields".
- Mapeamos "cs5" para "additional.fields".
- Mapeamos "cs6" para "additional.fields".
- Mapeamos "cn1" para "additional.fields".
- Mapeou "sourceTranslatedPort" para "principal.port".
- "sourceTranslatedAddress" foi mapeado para "principal.ip".
- "destinationTranslatedAddress" foi associado a "target.ip".
- "destinationTranslatedPort" foi mapeado para "target.port".
- Mapeamos "act" para "security_result.action_details".
- "deviceExternalId" foi mapeado para "security_result.about.asset_id".
- "dvchost" foi mapeado para "principal.hostname".
- "Proto" foi mapeado para "network.ip_protocol".
- "fileId" foi mapeado para "target.resource.attribute.labels".