Collecter les journaux d'alertes Palo Alto Cortex XDR

Compatible avec:

Ce document explique comment collecter les journaux d'alertes Palo Alto Cortex XDR en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion CORTEX_XDR.

Configurer les alertes Palo Alto Cortex XDR

Pour configurer les alertes Palo Alto Cortex XDR, procédez comme suit:

Obtenir la clé API des alertes Palo Alto Cortex XDR

  1. Connectez-vous au portail Cortex XDR.
  2. Dans le menu Paramètres, cliquez sur Paramètres.
  3. Sélectionnez + Nouvelle clé.
  4. Dans la section Niveau de sécurité, sélectionnez Avancé.
  5. Dans la section Rôles, sélectionnez Lecteur.
  6. Cliquez sur Générer.
  7. Copiez la clé API, puis cliquez sur OK. La clé API représente votre clé d'autorisation unique et ne s'affiche qu'au moment de la création. Il est obligatoire lorsque vous configurez le flux Google Security Operations.

Obtenir l'ID de clé API des alertes Palo Alto Cortex XDR

Dans la section Configurations, accédez à Clés API > ID. Notez votre numéro d'ID correspondant, qui représente le jeton x-xdr-auth-id:{key_id}.

Obtenir le FQDN

  1. Accédez à Clés API.
  2. Cliquez sur Copier l'URL. Enregistrez l'URL, qui est requise lorsque vous configurez le flux Google Security Operations.

Configurer un flux dans Google Security Operations pour ingérer les journaux d'alertes Palo Alto Cortex XDR

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Add New (Ajouter nouveau).
  3. Saisissez un nom unique dans le champ Nom du champ.
  4. Sélectionnez API tierce comme Type de source.
  5. Sélectionnez Alertes Palo Alto Cortex XDR comme Type de journal.
  6. Cliquez sur Suivant.
  7. Configurez les paramètres d'entrée obligatoires suivants :
    • En-têtes HTTP d'authentification: fournissez la clé d'autorisation et l'ID de clé d'autorisation que vous avez obtenus précédemment.
    • Nom d'hôte de l'API: indiquez l'URL que vous avez obtenue précédemment.
    • Point de terminaison: spécifiez le point de terminaison.
  8. Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences associées à chaque type de flux, consultez la section Configuration des flux par type.

Si vous rencontrez des problèmes lorsque vous créez des flux, contactez l'assistance Google Security Operations.

Référence du mappage de champs

Cet analyseur extrait les journaux de sécurité de Palo Alto Networks Cortex XDR au format JSON ou SYSLOG (clé-valeur), normalise les champs et les met en correspondance avec l'UDM. Il gère les formats JSON et clé-valeur, effectue l'extraction de date, enrichit les données avec des métadonnées et structure la sortie pour l'ingestion dans Google SecOps.

Activer les requêtes d'API REST sur Cortex XDR et configurer un flux Google SecOps

Ce guide fournit des instructions détaillées pour activer les requêtes d'API REST sur Cortex XDR et configurer un flux correspondant dans Google SecOps.

Partie 1: Activer les requêtes d'API REST sur Cortex XDR

Cortex XDR utilise des clés API pour l'authentification. Pour générer une clé API, procédez comme suit:

  1. Connectez-vous à la console de gestion de Cortex XDR.
  2. Accéder à Paramètres.
  3. Accédez à Clés API.
  4. Générez une nouvelle clé.
  5. Attribuez un nom de clé (par exemple, "Intégration SecOps").
  6. Attribuez à la clé API les autorisations nécessaires pour accéder aux données requises. C'est un aspect essentiel de la sécurité et garantit que la clé n'a accès qu'à ce dont elle a besoin. Consultez la documentation de Cortex XDR pour connaître les autorisations spécifiques requises pour votre cas d'utilisation.
  7. Stockez la clé API de manière sécurisée. Vous en aurez besoin pour la configuration du flux Google SecOps. C'est la seule fois où vous verrez la clé complète. Assurez-vous de la copier maintenant.
  8. (Facultatif) Configurez une date d'expiration pour la clé API afin de renforcer la sécurité.

Partie 2: Configurer le flux dans Google SecOps

Une fois la clé API générée, configurez le flux dans Google SecOps pour qu'il reçoive des données de Cortex XDR:

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Sélectionnez API tierce comme type de source.
  4. Sélectionnez le type de journal requis qui correspond aux données que vous souhaitez ingérer à partir de Cortex XDR.
  5. Cliquez sur Suivant.
  6. Configurez les paramètres d'entrée suivants :
    • Point de terminaison de l'API: saisissez l'URL de base de l'API Cortex XDR. Vous trouverez ces informations dans la documentation de l'API Cortex XDR.
    • Clé API: collez la clé API que vous avez générée précédemment.
    • Autres paramètres: en fonction de l'API Cortex XDR que vous utilisez, vous devrez peut-être fournir des paramètres supplémentaires, tels que des filtres de données ou des plages de dates spécifiques. Pour en savoir plus, consultez la documentation de l'API Cortex XDR.
  7. Cliquez sur Suivant, puis sur Envoyer.

Remarques importantes:

  • Limite de débit: tenez compte des limites de débit imposées par l'API Cortex XDR. Configurez le flux en conséquence pour éviter de dépasser ces limites.
  • Gestion des erreurs: implémentez une gestion appropriée des erreurs dans votre configuration Google SecOps pour gérer les situations où l'API Cortex XDR est indisponible ou renvoie des erreurs.
  • Sécurité: stockez la clé API de manière sécurisée et suivez les bonnes pratiques de sécurité. Faites régulièrement pivoter les clés API pour minimiser l'impact d'une éventuelle compromission.
  • Documentation: consultez la documentation officielle de l'API Cortex XDR pour obtenir des informations détaillées sur les points de terminaison, les paramètres et les formats de données disponibles.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
action security_result.action Si action contient "BLOCKED", définissez la valeur sur "BLOCK".
action security_result.action_details Si act n'est pas vide, nulle ou "none", utilisez la valeur de act. Sinon, si action n'est pas défini sur "BLOCKED", utilisez la valeur de action.
action_country security_result.about.location.country_or_region Mappage direct. Également utilisé dans le champ events imbriqué.
action_file_path target.resource.attribute.labels Crée un libellé avec la clé "action_file_path" et la valeur du champ de journal.
action_file_sha256 target.file.sha256 Convertit en minuscules.
action_local_port principal.port Convertit en entier.
action_remote_ip target.ip Fusionné dans le tableau target.ip.
action_remote_ip target.asset.ip Fusionné dans le tableau target.asset.ip.
action_remote_port target.port Convertit en entier.
act security_result.action_details Utilisé si la valeur n'est pas vide, nulle ou "none".
agent_data_collection_status Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
agent_device_domain target.administrative_domain Mappage direct.
agent_fqdn Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
agent_install_type Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
agent_is_vdi Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
agent_os_sub_type target.platform_version Mappage direct.
agent_os_type target.platform Si "Windows", définissez la valeur sur "WINDOWS".
agent_version Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
alert_id security_result.rule_id Mappage direct.
app target.application Mappage direct.
cat security_result.category_details Fusionné dans le champ security_result.category_details.
category security_result.category Si "Logiciel malveillant", définissez la valeur sur "SOFTWARE_MALICIOUS".
category security_result.category_details Fusionné dans le champ security_result.category_details.
cn1 network.session_id Mappage direct.
cn1Label Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
contains_featured_host Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
contains_featured_ip Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
contains_featured_user Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
creation_time metadata.event_timestamp Converti en code temporel.
cs1 security_result.rule_name Concatenated with cs1Label to form the security_result.rule_name.
cs1Label security_result.rule_name Concatenated with cs1 to form the security_result.rule_name.
cs2 additional.fields Crée une paire clé-valeur dans additional.fields avec la clé de cs2Label et la valeur de chaîne de cs2.
cs2Label additional.fields Utilisé comme clé pour la valeur cs2 dans additional.fields.
cs3 additional.fields Crée une paire clé-valeur dans additional.fields avec la clé de cs3Label et la valeur de chaîne de cs3.
cs3Label additional.fields Utilisé comme clé pour la valeur cs3 dans additional.fields.
cs4 additional.fields Crée une paire clé-valeur dans additional.fields avec la clé de cs4Label et la valeur de chaîne de cs4.
cs4Label additional.fields Utilisé comme clé pour la valeur cs4 dans additional.fields.
cs5 additional.fields Crée une paire clé-valeur dans additional.fields avec la clé de cs5Label et la valeur de chaîne de cs5.
cs5Label additional.fields Utilisé comme clé pour la valeur cs5 dans additional.fields.
cs6 additional.fields Crée une paire clé-valeur dans additional.fields avec la clé de cs6Label et la valeur de chaîne de cs6.
cs6Label additional.fields Utilisé comme clé pour la valeur cs6 dans additional.fields.
CSPaccountname additional.fields Crée une paire clé-valeur dans additional.fields avec la clé "CSPaccountname" et la valeur de chaîne du champ de journal.
description metadata.description Mappage direct. Utilisé également pour security_result.description si event_type n'est pas GENERIC_EVENT.
destinationTranslatedAddress target.ip Fusionné dans le tableau target.ip.
destinationTranslatedAddress target.asset.ip Fusionné dans le tableau target.asset.ip.
destinationTranslatedPort target.port Converti en entier s'il n'est pas vide ou s'il est égal à -1.
deviceExternalId security_result.about.asset_id Préfixé par "ID externe de l'appareil: ".
dpt target.port Converti en entier si destinationTranslatedPort est vide ou -1.
dst target.ip Fusionné dans le tableau target.ip.
dst target.asset.ip Fusionné dans le tableau target.asset.ip.
dst_agent_id target.ip Converti en adresse IP et fusionné dans le tableau target.ip si l'adresse IP est valide.
dst_agent_id target.asset.ip Converti en adresse IP et fusionné dans le tableau target.asset.ip si l'adresse IP est valide.
dvchost principal.hostname Mappage direct.
dvchost principal.asset.hostname Mappage direct.
endpoint_id target.process.product_specific_process_id Préfixé par "cor:".
event_id Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
event_sub_type Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
event_timestamp metadata.event_timestamp Converti en code temporel. Également utilisé dans le champ events imbriqué.
event_type metadata.event_type Mappé à un type d'événement UDM en fonction de la logique. Également utilisé dans le champ events imbriqué.
event_type metadata.product_event_type Mappage direct.
event_type security_result.threat_name Mappage direct.
events Événements imbriqués Les champs du tableau events sont mappés aux champs UDM correspondants dans les objets events imbriqués. Pour en savoir plus, consultez les mappages de champs individuels.
external_id Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fileId target.resource.attribute.labels Crée un libellé avec la clé "fileId" et la valeur du champ de journal.
fileHash target.file.sha256 Converti en minuscules. Définit metadata.event_type sur FILE_UNCATEGORIZED.
filePath target.file.full_path Mappage direct. Définit metadata.event_type sur FILE_UNCATEGORIZED.
fw_app_category Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_app_id Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_app_subcategory Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_app_technology Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_device_name Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_email_recipient Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_email_sender Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_email_subject Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_interface_from Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_interface_to Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_is_phishing Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_misc Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_rule Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_rule_id Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_serial_number Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_url_domain Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_vsys Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
fw_xff Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
host_ip principal.ip Divisé par une virgule et fusionné dans le tableau principal.ip.
host_ip principal.asset.ip Divisé par une virgule et fusionné dans le tableau principal.asset.ip.
host_name principal.hostname Mappage direct.
host_name principal.asset.hostname Mappage direct.
hosts target.hostname Extrait le nom d'hôte du premier élément du tableau hosts.
hosts target.asset.hostname Extrait le nom d'hôte du premier élément du tableau hosts.
hosts target.user.employee_id Extraction de l'ID utilisateur à partir du premier élément du tableau hosts.
incident_id metadata.product_log_id Mappage direct.
is_whitelisted Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
local_insert_ts Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
mac principal.mac Divisé par une virgule et fusionné dans le tableau principal.mac.
matching_status Non mappé Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final.
metadata.description security_result.description À utiliser si event_type est GENERIC_EVENT.
metadata.event_type metadata.event_type Défini en fonction d'une logique à l'aide de event_type, host_ip et d'autres champs.
metadata.log_type metadata.log_type Défini sur "CORTEX_XDR".
metadata.product_name metadata.product_name Définissez-le sur "Cortex".
metadata.vendor_name metadata.vendor_name Définissez-le sur "Palo Alto Networks".
msg security_result.description Mappage direct.
name security_result.summary Mappage direct.
PanOSDGHierarchyLevel1 security_result.detection_fields Crée une paire clé-valeur dans security_result.detection_fields avec la clé "PanOSDGHierarchyLevel1" et la valeur du champ de journal.
PanOSDestinationLocation target.location.country_or_region Mappage direct.
PanOSDynamicUserGroupName principal.group.group_display_name Mise en correspondance directe si elle n'est pas vide ou si elle est définie sur "-".
PanOSSourceLocation principal.location.country_or_region Mappage direct.
PanOSThreatCategory security_result.category_details Fusionné dans le champ security_result.category_details.
PanOSThreatID security_result.threat_id Mappage direct.
principal.asset.attribute.labels principal.asset.attribute.labels Crée un libellé avec la clé "Source" et la valeur du champ source.
proto network.ip_protocol Converti en majuscules. Définit metadata.event_type sur NETWORK_CONNECTION.
request network.http.referral_url Mappage direct.
rt metadata.event_timestamp Converti en code temporel.
security_result.severity security_result.severity Définissez la valeur severity en majuscules.
severity security_result.severity Converti en majuscules.
shost principal.hostname Mappage direct. Définit metadata.event_type sur STATUS_UPDATE.
shost principal.asset.hostname Mappage direct. Définit metadata.event_type sur STATUS_UPDATE.
source principal.asset.attribute.labels Utilisé comme valeur pour le libellé "Source".
source security_result.summary Utilisé si les filtres not_json et grok correspondent.
sourceTranslatedAddress principal.ip Fusionné dans le tableau principal.ip.
sourceTranslatedAddress principal.asset.ip Fusionné dans le tableau principal.asset.ip.
sourceTranslatedPort principal.port Converti en entier s'il n'est pas vide ou s'il est égal à -1.
spt principal.port Converti en entier.
sr_summary security_result.summary Utilisé si les filtres not_json et grok correspondent.
src principal.ip Fusionné dans le tableau principal.ip.
src principal.asset.ip Fusionné dans le tableau principal.asset.ip.
suser principal.user.user_display_name Mappage direct.
tenantCDLid additional.fields Crée une paire clé-valeur dans additional.fields avec la clé "tenantCDLid" et la valeur de chaîne du champ de journal.
tenantname additional.fields Crée une paire clé-valeur dans additional.fields avec la clé "tenantname" et la valeur de chaîne du champ de journal.
users target.user.userid Utilise le premier élément du tableau users.
xdr_url metadata.url_back_to_product Mappage direct.

Modifications

2024-07-05

  • Mappage de "isInteractive" sur "security_result.detection_fields".

2024-04-02

  • Mappage de "properties.createdDateTime" sur "metadata.event_timestamp".
  • Mise en correspondance de "properties.resourceServicePrincipalId" et "resourceServicePrincipalId" avec "target.resource.attribute.labels".
  • Mappage de "properties.authenticationProcessingDetails", "authenticationProcessingDetails" et "properties.networkLocationDetails" sur "additional.fields".
  • "properties.userAgent" a été mappé sur "network.http.user_agent" et "network.http.parsed_user_agent".
  • Mappage de "properties.authenticationRequirement" sur "additional.fields".

2024-04-17

  • "action_local_port" a été mappé sur "principal.port".
  • Mappage de "dst_agent_id" sur "principal.ip".
  • Mappage de "action_remote_ip" sur "target.ip".
  • Mappage de "action_remote_port" sur "target.ip".
  • Ajout d'une vérification pour déterminer si "target_device" est présent avant de définir "metadata.event_type" sur "NETWORK_CONNECTION".

2024-03-15

  • Ajout d'un Grok pour récupérer "source" et "sr_summary" dans l'en-tête du message.
  • Mappage de "sr_summary" sur "security_result.summary".

2024-03-11

  • Ajout de la prise en charge des journaux au format CEF.
  • Mappage de "rt" sur "metadata.event_timestamp".
  • Mappage de "category" et "cat" sur "security_result.category_details".
  • Les champs "cs2Label", "cs2", "tenantname", "tenantCDLid" et "CSPaccountname" ont été mappés sur "additional.fields".
  • Mappage de "shost" sur "principal.hostname" et "principal.asset.hostname".
  • Mappage de "spt" sur "principal.port".
  • Mappage de "src" sur "principal.ip" et "principal.asset.ip".
  • "suser" a été mappé sur "principal.user.user_display_name".
  • Mappage de "dpt" sur "target.port".
  • Mappage de "dst" sur "target.ip" et "target.asset.ip".
  • Mappage de "fileHash" sur "target.file.sha256".
  • "filePath" a été mappé sur "target.file.full_path".
  • Mappage de "request" sur "network.http.referral_url".
  • Mappage de "msg" sur "security_result.description".

2024-01-18

  • Modification du mappage "action_file_path" de "target.file.full_path" à "target.resource.attribute.labels".
  • Mappage de "domain" sur "target.asset.hostname".
  • Mappage de "destinationTranslatedAddress" sur "target.asset.ip".
  • "host_name" a été mappé sur "principal.asset.hostname".
  • "dvchost" a été mappé sur "principal.asset.hostname".
  • "ip" a été mappé sur "principal.asset.ip".
  • Mappage de "sourceTranslatedAddress" sur "principal.asset.ip".

2023-11-10

  • Lorsque "event_type" est "RPC Call", "metadata.event_type" est mappé sur "STATUS_UPDATE".
  • Mappage de "events.action_country" sur "security_result.about.location.country_or_region".
  • Mappage de "events.actor_process_command_line" sur "target.process.command_line".
  • "events.actor_process_image_md5" a été mappé sur "target.file.md5".
  • "events.actor_process_image_path" a été mappé sur "target.file.full_path".
  • Mappage de "events.actor_process_image_sha256" sur "target.file.sha256".
  • Mappage de "events.actor_process_instance_id" sur "target.process.pid".
  • Mappage de "events.os_actor_process_command_line" sur "principal.process.command_line".
  • Mappage de "events.os_actor_process_image_path" sur "principal.file.full_path".
  • "events.os_actor_process_image_sha256" a été mappé sur "principal.file.sha256".
  • Mappage de "events.os_actor_process_instance_id" sur "principal.process.pid".
  • Mappage de "events.causality_actor_process_command_line" sur "intermediary.process.command_line".
  • "events.causality_actor_process_image_path" a été mappé sur "intermediary.file.full_path".
  • Mappage de "events.causality_actor_process_image_sha256" sur "intermediary.file.sha256".
  • Mappage de "events.causality_actor_process_instance_id" sur "intermediary.process.pid".
  • Mappage de "events.causality_actor_process_image_md5" sur "intermediary.file.md5".
  • "events.event_type" a été mappé sur "metadata.product_event_type".
  • "events.user_name" a été mappé sur "principal.user.user_display_name".

2023-10-16

  • "source" a été mappé sur "principal.asset.attribute.labels".
  • Définissez "metadata.event_type" sur "NETWORK_CONNECTION" si "event_type" est défini sur "Network Connections" (Connexions réseau) ou "Network Event" (Événement réseau).

2022-11-03

  • Mappage de "PanOSConfigVersion" sur "security_result.detection_fields".
  • Mappage de "PanOSContentVersion" sur "security_result.detection_fields".
  • Mappage de "PanOSDGHierarchyLevel1" sur "security_result.detection_fields".
  • Mappage de "PanOSDestinationLocation" sur "target.location.country_or_region".
  • Mappage de "PanOSDynamicUserGroupName" sur "principal.group.group_display_name".
  • Mappage de "PanOSSourceLocation" sur "principal.location.country_or_region".
  • Mappage de "PanOSThreatCategory" sur "security_result.category_details".
  • "PanOSThreatID" a été mappé sur "security_result.threat_id".
  • Mappage de "app" sur "target.application".
  • Mappage de "cs1" sur "additional.fields".
  • Mappage de "cs3" sur "additional.fields".
  • Mappage de "cs4" sur "additional.fields".
  • Mappage de "cs5" sur "additional.fields".
  • Mappage de "cs6" sur "additional.fields".
  • Mappage de "cn1" sur "additional.fields".
  • Mappage de "sourceTranslatedPort" sur "principal.port".
  • Mappage de "sourceTranslatedAddress" sur "principal.ip".
  • Mappage de "destinationTranslatedAddress" sur "target.ip".
  • Mappage de "destinationTranslatedPort" sur "target.port".
  • Mappage de "act" sur "security_result.action_details".
  • "deviceExternalId" a été mappé sur "security_result.about.asset_id".
  • "dvchost" a été mappé sur "principal.hostname".
  • Mappage de "proto" sur "network.ip_protocol".
  • "fileId" a été mappé sur "target.resource.attribute.labels".