Collecter les journaux d'alertes Palo Alto Cortex XDR
Compatible avec:
Google SecOps
SIEM
Ce document explique comment collecter les journaux d'alertes Palo Alto Cortex XDR en configurant un flux Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion CORTEX_XDR.
Configurer les alertes Palo Alto Cortex XDR
Pour configurer les alertes Palo Alto Cortex XDR, procédez comme suit:
- Obtenez la clé API d'alertes Palo Alto Cortex XDR.
- Obtenez l'ID de clé API des alertes Palo Alto Cortex XDR.
- Obtenez le nom de domaine complet (FQDN).
Obtenir la clé API des alertes Palo Alto Cortex XDR
- Connectez-vous au portail Cortex XDR.
- Dans le menu Paramètres, cliquez sur Paramètres.
- Sélectionnez + Nouvelle clé.
- Dans la section Niveau de sécurité, sélectionnez Avancé.
- Dans la section Rôles, sélectionnez Lecteur.
- Cliquez sur Générer.
- Copiez la clé API, puis cliquez sur OK. La clé API représente votre clé d'autorisation unique et ne s'affiche qu'au moment de la création. Il est obligatoire lorsque vous configurez le flux Google Security Operations.
Obtenir l'ID de clé API des alertes Palo Alto Cortex XDR
Dans la section Configurations, accédez à Clés API > ID. Notez votre numéro d'ID correspondant, qui représente le jeton x-xdr-auth-id:{key_id}.
Obtenir le FQDN
- Accédez à Clés API.
- Cliquez sur Copier l'URL. Enregistrez l'URL, qui est requise lorsque vous configurez le flux Google Security Operations.
Configurer un flux dans Google Security Operations pour ingérer les journaux d'alertes Palo Alto Cortex XDR
- Accédez à Paramètres du SIEM > Flux.
- Cliquez sur Add New (Ajouter nouveau).
- Saisissez un nom unique dans le champ Nom du champ.
- Sélectionnez API tierce comme Type de source.
- Sélectionnez Alertes Palo Alto Cortex XDR comme Type de journal.
- Cliquez sur Suivant.
- Configurez les paramètres d'entrée obligatoires suivants :
- En-têtes HTTP d'authentification: fournissez la clé d'autorisation et l'ID de clé d'autorisation que vous avez obtenus précédemment.
- Nom d'hôte de l'API: indiquez l'URL que vous avez obtenue précédemment.
- Point de terminaison: spécifiez le point de terminaison.
- Cliquez sur Suivant, puis sur Envoyer.
Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences associées à chaque type de flux, consultez la section Configuration des flux par type.
Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.
Référence de mappage de champ
Cet analyseur extrait les journaux de sécurité de Palo Alto Networks Cortex XDR au format JSON ou SYSLOG (clé-valeur), normalise les champs et les met en correspondance avec l'UDM. Il gère les formats JSON et clé-valeur, effectue l'extraction de date, enrichit les données avec des métadonnées et structure la sortie pour l'ingestion dans Google SecOps.
Activer les requêtes d'API REST sur Cortex XDR et configurer un flux Google SecOps
Ce guide fournit des instructions détaillées pour activer les requêtes d'API REST sur Cortex XDR et configurer un flux correspondant dans Google SecOps.
Partie 1: Activer les requêtes d'API REST sur Cortex XDR
Cortex XDR utilise des clés API pour l'authentification. Pour générer une clé API, procédez comme suit:
- Connectez-vous à la console de gestion Cortex XDR.
- Accéder à Paramètres.
- Accédez à Clés API.
- Générez une nouvelle clé.
- Attribuez un nom de clé (par exemple, "Intégration SecOps").
- Attribuez à la clé API les autorisations nécessaires pour accéder aux données requises. C'est un aspect essentiel de la sécurité et garantit que la clé n'a accès qu'à ce dont elle a besoin. Consultez la documentation de Cortex XDR pour connaître les autorisations spécifiques requises pour votre cas d'utilisation.
- Stockez la clé API de manière sécurisée. Vous en aurez besoin pour configurer le flux Google SecOps. C'est la seule fois où vous verrez la clé complète. Assurez-vous de la copier maintenant.
- (Facultatif) Configurez une date d'expiration pour la clé API afin de renforcer la sécurité.
Partie 2: Configurer le flux dans Google SecOps
Une fois la clé API générée, configurez le flux dans Google SecOps pour qu'il reçoive des données de Cortex XDR:
- Accédez à Paramètres du SIEM > Flux.
- Cliquez sur Ajouter.
- Sélectionnez API tierce comme type de source.
- Sélectionnez le type de journal requis qui correspond aux données que vous souhaitez ingérer à partir de Cortex XDR.
- Cliquez sur Suivant.
- Configurez les paramètres d'entrée suivants :
- Point de terminaison de l'API: saisissez l'URL de base de l'API Cortex XDR. Vous trouverez ces informations dans la documentation de l'API Cortex XDR.
- Clé API: collez la clé API que vous avez générée précédemment.
- Autres paramètres: en fonction de l'API Cortex XDR que vous utilisez, vous devrez peut-être fournir des paramètres supplémentaires, tels que des filtres de données ou des plages de temps spécifiques. Pour en savoir plus, consultez la documentation de l'API Cortex XDR.
- Cliquez sur Suivant, puis sur Envoyer.
Remarques importantes :
- Limite de débit: tenez compte des limites de débit imposées par l'API Cortex XDR. Configurez le flux en conséquence pour éviter de dépasser ces limites.
- Gestion des erreurs: implémentez une gestion appropriée des erreurs dans votre configuration Google SecOps pour gérer les situations où l'API Cortex XDR est indisponible ou renvoie des erreurs.
- Sécurité: stockez la clé API de manière sécurisée et suivez les bonnes pratiques de sécurité. Faites régulièrement pivoter les clés API pour minimiser l'impact d'une éventuelle compromission.
- Documentation: consultez la documentation officielle de l'API Cortex XDR pour obtenir des informations détaillées sur les points de terminaison, les paramètres et les formats de données disponibles.
Tableau de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
action |
security_result.action |
Si action contient "BLOCKED", définissez la valeur sur "BLOCK". |
action |
security_result.action_details |
Si act n'est pas vide, nulle ou "none", utilisez la valeur de act. Sinon, si action n'est pas défini sur "BLOCKED", utilisez la valeur de action. |
action_country |
security_result.about.location.country_or_region |
Mappage direct. Également utilisé dans le champ events imbriqué. |
action_file_path |
target.resource.attribute.labels |
Crée un libellé avec la clé "action_file_path" et la valeur du champ de journal. |
action_file_sha256 |
target.file.sha256 |
Convertit en minuscules. |
action_local_port |
principal.port |
Convertit en entier. |
action_remote_ip |
target.ip |
Fusionné dans le tableau target.ip. |
action_remote_ip |
target.asset.ip |
Fusionné dans le tableau target.asset.ip. |
action_remote_port |
target.port |
Convertit en entier. |
act |
security_result.action_details |
Utilisé si la valeur n'est pas vide, nulle ou "none". |
agent_data_collection_status |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
agent_device_domain |
target.administrative_domain |
Mappage direct. |
agent_fqdn |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
agent_install_type |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
agent_is_vdi |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
agent_os_sub_type |
target.platform_version |
Mappage direct. |
agent_os_type |
target.platform |
Si "Windows", définissez la valeur sur "WINDOWS". |
agent_version |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
alert_id |
security_result.rule_id |
Mappage direct. |
app |
target.application |
Mappage direct. |
cat |
security_result.category_details |
Fusionné dans le champ security_result.category_details. |
category |
security_result.category |
Si "Logiciel malveillant", définissez la valeur sur "SOFTWARE_MALICIOUS". |
category |
security_result.category_details |
Fusionné dans le champ security_result.category_details. |
cn1 |
network.session_id |
Mappage direct. |
cn1Label |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
contains_featured_host |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
contains_featured_ip |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
contains_featured_user |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
creation_time |
metadata.event_timestamp |
Converti en code temporel. |
cs1 |
security_result.rule_name |
Concatenated with cs1Label to form the security_result.rule_name. |
cs1Label |
security_result.rule_name |
Concatenated with cs1 to form the security_result.rule_name. |
cs2 |
additional.fields |
Crée une paire clé-valeur dans additional.fields avec la clé de cs2Label et la valeur de chaîne de cs2. |
cs2Label |
additional.fields |
Utilisé comme clé pour la valeur cs2 dans additional.fields. |
cs3 |
additional.fields |
Crée une paire clé-valeur dans additional.fields avec la clé de cs3Label et la valeur de chaîne de cs3. |
cs3Label |
additional.fields |
Utilisé comme clé pour la valeur cs3 dans additional.fields. |
cs4 |
additional.fields |
Crée une paire clé-valeur dans additional.fields avec la clé de cs4Label et la valeur de chaîne de cs4. |
cs4Label |
additional.fields |
Utilisé comme clé pour la valeur cs4 dans additional.fields. |
cs5 |
additional.fields |
Crée une paire clé-valeur dans additional.fields avec la clé de cs5Label et la valeur de chaîne de cs5. |
cs5Label |
additional.fields |
Utilisé comme clé pour la valeur cs5 dans additional.fields. |
cs6 |
additional.fields |
Crée une paire clé-valeur dans additional.fields avec la clé de cs6Label et la valeur de chaîne de cs6. |
cs6Label |
additional.fields |
Utilisé comme clé pour la valeur cs6 dans additional.fields. |
CSPaccountname |
additional.fields |
Crée une paire clé-valeur dans additional.fields avec la clé "CSPaccountname" et la valeur de chaîne du champ de journal. |
description |
metadata.description |
Mappage direct. Également utilisé pour security_result.description si event_type n'est pas GENERIC_EVENT. |
destinationTranslatedAddress |
target.ip |
Fusionné dans le tableau target.ip. |
destinationTranslatedAddress |
target.asset.ip |
Fusionné dans le tableau target.asset.ip. |
destinationTranslatedPort |
target.port |
Converti en entier s'il n'est pas vide ou s'il est égal à -1. |
deviceExternalId |
security_result.about.asset_id |
Préfixé par "ID externe de l'appareil: ". |
dpt |
target.port |
Converti en entier si destinationTranslatedPort est vide ou -1. |
dst |
target.ip |
Fusionné dans le tableau target.ip. |
dst |
target.asset.ip |
Fusionné dans le tableau target.asset.ip. |
dst_agent_id |
target.ip |
Converti en adresse IP et fusionné dans le tableau target.ip si l'adresse IP est valide. |
dst_agent_id |
target.asset.ip |
Converti en adresse IP et fusionné dans le tableau target.asset.ip si l'adresse IP est valide. |
dvchost |
principal.hostname |
Mappage direct. |
dvchost |
principal.asset.hostname |
Mappage direct. |
endpoint_id |
target.process.product_specific_process_id |
Préfixé par "cor:". |
event_id |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
event_sub_type |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
event_timestamp |
metadata.event_timestamp |
Converti en code temporel. Également utilisé dans le champ events imbriqué. |
event_type |
metadata.event_type |
Mappé à un type d'événement UDM en fonction de la logique. Également utilisé dans le champ events imbriqué. |
event_type |
metadata.product_event_type |
Mappage direct. |
event_type |
security_result.threat_name |
Mappage direct. |
events |
Événements imbriqués | Les champs du tableau events sont mappés aux champs UDM correspondants dans les objets events imbriqués. Pour en savoir plus, consultez les mappages de champs individuels. |
external_id |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fileId |
target.resource.attribute.labels |
Crée un libellé avec la clé "fileId" et la valeur du champ de journal. |
fileHash |
target.file.sha256 |
Converti en minuscules. Définit metadata.event_type sur FILE_UNCATEGORIZED. |
filePath |
target.file.full_path |
Mappage direct. Définit metadata.event_type sur FILE_UNCATEGORIZED. |
fw_app_category |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_app_id |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_app_subcategory |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_app_technology |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_device_name |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_email_recipient |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_email_sender |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_email_subject |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_interface_from |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_interface_to |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_is_phishing |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_misc |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_rule |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_rule_id |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_serial_number |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_url_domain |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_vsys |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
fw_xff |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
host_ip |
principal.ip |
Divisé par une virgule et fusionné dans le tableau principal.ip. |
host_ip |
principal.asset.ip |
Divisé par une virgule et fusionné dans le tableau principal.asset.ip. |
host_name |
principal.hostname |
Mappage direct. |
host_name |
principal.asset.hostname |
Mappage direct. |
hosts |
target.hostname |
Extrait le nom d'hôte du premier élément du tableau hosts. |
hosts |
target.asset.hostname |
Extrait le nom d'hôte du premier élément du tableau hosts. |
hosts |
target.user.employee_id |
Extraction de l'ID utilisateur à partir du premier élément du tableau hosts. |
incident_id |
metadata.product_log_id |
Mappage direct. |
is_whitelisted |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
local_insert_ts |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
mac |
principal.mac |
Divisé par une virgule et fusionné dans le tableau principal.mac. |
matching_status |
Non mappé | Bien qu'il soit présent dans le journal brut, ce champ n'est pas mappé à l'objet IDM dans le fichier UDM final. |
metadata.description |
security_result.description |
À utiliser si event_type est GENERIC_EVENT. |
metadata.event_type |
metadata.event_type |
Défini en fonction d'une logique à l'aide de event_type, host_ip et d'autres champs. |
metadata.log_type |
metadata.log_type |
Défini sur "CORTEX_XDR". |
metadata.product_name |
metadata.product_name |
Définissez-le sur "Cortex". |
metadata.vendor_name |
metadata.vendor_name |
Définissez-le sur "Palo Alto Networks". |
msg |
security_result.description |
Mappage direct. |
name |
security_result.summary |
Mappage direct. |
PanOSDGHierarchyLevel1 |
security_result.detection_fields |
Crée une paire clé-valeur dans security_result.detection_fields avec la clé "PanOSDGHierarchyLevel1" et la valeur du champ de journal. |
PanOSDestinationLocation |
target.location.country_or_region |
Mappage direct. |
PanOSDynamicUserGroupName |
principal.group.group_display_name |
Mise en correspondance directe si elle n'est pas vide ou si elle est définie sur "-". |
PanOSSourceLocation |
principal.location.country_or_region |
Mappage direct. |
PanOSThreatCategory |
security_result.category_details |
Fusionné dans le champ security_result.category_details. |
PanOSThreatID |
security_result.threat_id |
Mappage direct. |
principal.asset.attribute.labels |
principal.asset.attribute.labels |
Crée un libellé avec la clé "Source" et la valeur du champ source. |
proto |
network.ip_protocol |
Converti en majuscules. Définit metadata.event_type sur NETWORK_CONNECTION. |
request |
network.http.referral_url |
Mappage direct. |
rt |
metadata.event_timestamp |
Converti en code temporel. |
security_result.severity |
security_result.severity |
Définissez la valeur severity en majuscules. |
severity |
security_result.severity |
Converti en majuscules. |
shost |
principal.hostname |
Mappage direct. Définit metadata.event_type sur STATUS_UPDATE. |
shost |
principal.asset.hostname |
Mappage direct. Définit metadata.event_type sur STATUS_UPDATE. |
source |
principal.asset.attribute.labels |
Utilisé comme valeur pour le libellé "Source". |
source |
security_result.summary |
Utilisé si les filtres not_json et grok correspondent. |
sourceTranslatedAddress |
principal.ip |
Fusionné dans le tableau principal.ip. |
sourceTranslatedAddress |
principal.asset.ip |
Fusionné dans le tableau principal.asset.ip. |
sourceTranslatedPort |
principal.port |
Converti en entier s'il n'est pas vide ou s'il est égal à -1. |
spt |
principal.port |
Converti en entier. |
sr_summary |
security_result.summary |
Utilisé si les filtres not_json et grok correspondent. |
src |
principal.ip |
Fusionné dans le tableau principal.ip. |
src |
principal.asset.ip |
Fusionné dans le tableau principal.asset.ip. |
suser |
principal.user.user_display_name |
Mappage direct. |
tenantCDLid |
additional.fields |
Crée une paire clé-valeur dans additional.fields avec la clé "tenantCDLid" et la valeur de chaîne du champ de journal. |
tenantname |
additional.fields |
Crée une paire clé-valeur dans additional.fields avec la clé "tenantname" et la valeur de chaîne du champ de journal. |
users |
target.user.userid |
Utilise le premier élément du tableau users. |
xdr_url |
metadata.url_back_to_product |
Mappage direct. |
Modifications
2024-07-05
- Mappage de "isInteractive" sur "security_result.detection_fields".
2024-04-02
- "properties.createdDateTime" a été mappé sur "metadata.event_timestamp".
- "properties.resourceServicePrincipalId" et "resourceServicePrincipalId" ont été mappés sur "target.resource.attribute.labels".
- Mappage de "properties.authenticationProcessingDetails", "authenticationProcessingDetails" et "properties.networkLocationDetails" sur "additional.fields".
- "properties.userAgent" a été mappé sur "network.http.user_agent" et "network.http.parsed_user_agent".
- Mappage de "properties.authenticationRequirement" sur "additional.fields".
2024-04-17
- "action_local_port" a été mappé sur "principal.port".
- Mappage de "dst_agent_id" sur "principal.ip".
- Mappage de "action_remote_ip" sur "target.ip".
- Mappage de "action_remote_port" sur "target.ip".
- Ajout d'une vérification si "target_device" est présent avant de définir "metadata.event_type" sur "NETWORK_CONNECTION".
2024-03-15
- Ajout d'un Grok pour récupérer "source" et "sr_summary" dans l'en-tête du message.
- Mappage de "sr_summary" sur "security_result.summary".
2024-03-11
- Ajout de la prise en charge des journaux au format CEF.
- Mappage de "rt" sur "metadata.event_timestamp".
- Mappage de "category" et "cat" sur "security_result.category_details".
- Les champs "cs2Label", "cs2", "tenantname", "tenantCDLid" et "CSPaccountname" ont été mappés sur "additional.fields".
- Mappage de "shost" sur "principal.hostname" et "principal.asset.hostname".
- Mappage de "spt" sur "principal.port".
- Mappage de "src" sur "principal.ip" et "principal.asset.ip".
- "suser" a été mappé sur "principal.user.user_display_name".
- Mappage de "dpt" sur "target.port".
- Mappage de "dst" sur "target.ip" et "target.asset.ip".
- Mappage de "fileHash" sur "target.file.sha256".
- "filePath" a été mappé sur "target.file.full_path".
- Mappage de "request" sur "network.http.referral_url".
- Mappage de "msg" sur "security_result.description".
2024-01-18
- Modification du mappage "action_file_path" de "target.file.full_path" à "target.resource.attribute.labels".
- Mappage de "domain" sur "target.asset.hostname".
- Mappage de "destinationTranslatedAddress" sur "target.asset.ip".
- "host_name" a été mappé sur "principal.asset.hostname".
- "dvchost" a été mappé sur "principal.asset.hostname".
- "ip" a été mappé sur "principal.asset.ip".
- Mappage de "sourceTranslatedAddress" sur "principal.asset.ip".
2023-11-10
- Lorsque "event_type" est "RPC Call", "metadata.event_type" est mappé sur "STATUS_UPDATE".
- Mappage de "events.action_country" sur "security_result.about.location.country_or_region".
- Mappage de "events.actor_process_command_line" sur "target.process.command_line".
- Mappage de "events.actor_process_image_md5" sur "target.file.md5".
- "events.actor_process_image_path" a été mappé sur "target.file.full_path".
- Mappage de "events.actor_process_image_sha256" sur "target.file.sha256".
- Mappage de "events.actor_process_instance_id" sur "target.process.pid".
- Mappage de "events.os_actor_process_command_line" sur "principal.process.command_line".
- Mappage de "events.os_actor_process_image_path" sur "principal.file.full_path".
- "events.os_actor_process_image_sha256" a été mappé sur "principal.file.sha256".
- Mappage de "events.os_actor_process_instance_id" sur "principal.process.pid".
- Mappage de "events.causality_actor_process_command_line" sur "intermediary.process.command_line".
- "events.causality_actor_process_image_path" a été mappé sur "intermediary.file.full_path".
- Mappage de "events.causality_actor_process_image_sha256" sur "intermediary.file.sha256".
- Mappage de "events.causality_actor_process_instance_id" sur "intermediary.process.pid".
- Mappage de "events.causality_actor_process_image_md5" sur "intermediary.file.md5".
- "events.event_type" a été mappé sur "metadata.product_event_type".
- "events.user_name" a été mappé sur "principal.user.user_display_name".
2023-10-16
- "source" a été mappé sur "principal.asset.attribute.labels".
- Définissez "metadata.event_type" sur "NETWORK_CONNECTION" si "event_type" est défini sur "Network Connections" (Connexions réseau) ou "Network Event" (Événement réseau).
2022-11-03
- Mappage de "PanOSConfigVersion" sur "security_result.detection_fields".
- Mappage de "PanOSContentVersion" sur "security_result.detection_fields".
- Mappage de "PanOSDGHierarchyLevel1" sur "security_result.detection_fields".
- Mappage de "PanOSDestinationLocation" sur "target.location.country_or_region".
- Mappage de "PanOSDynamicUserGroupName" sur "principal.group.group_display_name".
- Mappage de "PanOSSourceLocation" sur "principal.location.country_or_region".
- Mappage de "PanOSThreatCategory" sur "security_result.category_details".
- "PanOSThreatID" a été mappé sur "security_result.threat_id".
- Mappage de "app" sur "target.application".
- Mappage de "cs1" sur "additional.fields".
- Mappage de "cs3" sur "additional.fields".
- Mappage de "cs4" sur "additional.fields".
- Mappage de "cs5" sur "additional.fields".
- Mappage de "cs6" sur "additional.fields".
- Mappage de "cn1" sur "additional.fields".
- Mappage de "sourceTranslatedPort" sur "principal.port".
- Mappage de "sourceTranslatedAddress" sur "principal.ip".
- Mappage de "destinationTranslatedAddress" sur "target.ip".
- Mappage de "destinationTranslatedPort" sur "target.port".
- Mappage de "act" sur "security_result.action_details".
- "deviceExternalId" a été mappé sur "security_result.about.asset_id".
- "dvchost" a été mappé sur "principal.hostname".
- Mappage de "proto" sur "network.ip_protocol".
- "fileId" a été mappé sur "target.resource.attribute.labels".