Mengumpulkan log pemberitahuan Palo Alto Cortex XDR
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log pemberitahuan Palo Alto Cortex XDR dengan menyiapkan feed Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label penyerapan CORTEX_XDR.
Mengonfigurasi notifikasi Palo Alto Cortex XDR
Untuk mengonfigurasi pemberitahuan Palo Alto Cortex XDR, selesaikan tugas berikut:
- Dapatkan kunci API peringatan Palo Alto Cortex XDR.
- Dapatkan ID kunci API pemberitahuan Palo Alto Cortex XDR.
- Dapatkan nama domain yang sepenuhnya memenuhi syarat (FQDN).
Mendapatkan kunci API peringatan Palo Alto Cortex XDR
- Login ke portal Cortex XDR.
- Di menu Setelan, klik Setelan.
- Pilih +Kunci baru.
- Di bagian Tingkat keamanan, pilih Lanjutan.
- Di bagian Roles, pilih Viewer.
- Klik Generate.
- Salin kunci API, lalu klik Selesai. Kunci API mewakili kunci otorisasi unik Anda dan hanya ditampilkan pada saat pembuatan. Kolom ini wajib diisi saat Anda mengonfigurasi feed Google Security Operations.
Mendapatkan ID kunci API peringatan Palo Alto Cortex XDR
Di bagian Configurations, buka API keys > ID. Catat nomor ID yang sesuai, yang merepresentasikan token x-xdr-auth-id:{key_id}.
Mendapatkan FQDN
- Buka API keys.
- Klik Salin URL. Simpan URL, yang diperlukan saat Anda mengonfigurasi feed Google Security Operations.
Menyiapkan feed
Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:
- Setelan SIEM > Feed
- Hub Konten > Paket Konten
Menyiapkan feed dari Setelan SIEM > Feed
Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.
Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Feed name, masukkan nama untuk feed; misalnya, Palo Alto Cortex XDR Alerts Logs.
- Pilih Third party API sebagai Source Type.
- Pilih Palo Alto Cortex XDR Alerts sebagai Log Type.
- Klik Berikutnya.
- Konfigurasikan parameter input wajib berikut:
- Header HTTP autentikasi: Berikan kunci otorisasi dan ID kunci otorisasi yang Anda peroleh sebelumnya.
- Nama host API: Berikan URL yang Anda peroleh sebelumnya.
- Endpoint: Tentukan endpoint.
- Klik Berikutnya, lalu klik Kirim.
Untuk mengetahui informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.
Menyiapkan feed dari Hub Konten
Tentukan nilai untuk kolom berikut:
- Header HTTP autentikasi: Berikan kunci otorisasi dan ID kunci otorisasi yang Anda peroleh sebelumnya.
- Nama host API: Berikan URL yang Anda peroleh sebelumnya.
- Endpoint: Tentukan endpoint.
Opsi lanjutan
- Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
- Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
- Namespace Aset: Namespace yang terkait dengan feed.
- Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
Referensi pemetaan kolom
Parser ini mengekstrak log keamanan dari Palo Alto Networks Cortex XDR dalam format JSON atau SYSLOG (key-value), menormalisasi kolom, dan memetakannya ke UDM. Fitur ini menangani format JSON dan key-value, melakukan ekstraksi tanggal, memperkaya data dengan metadata, dan menyusun output untuk penyerapan ke Google SecOps.
Mengaktifkan permintaan REST API di Cortex XDR dan mengonfigurasi feed Google SecOps
Panduan ini memberikan petunjuk langkah demi langkah untuk mengaktifkan permintaan REST API di Cortex XDR dan mengonfigurasi feed yang sesuai di Google SecOps.
Bagian 1: Mengaktifkan permintaan REST API di Cortex XDR
Cortex XDR menggunakan kunci API untuk autentikasi. Ikuti langkah-langkah berikut untuk membuat kunci API:
- Login ke konsol pengelolaan Cortex XDR.
- Buka Setelan.
- Akses Kunci API.
- Buat kunci baru.
- Berikan nama kunci (misalnya, "Integrasi SecOps").
- Tetapkan izin yang diperlukan ke kunci API untuk mengakses data yang diperlukan. Hal ini sangat penting untuk keamanan dan memastikan kunci hanya memiliki akses ke hal-hal yang diperlukan. Lihat dokumentasi Cortex XDR untuk mengetahui izin spesifik yang diperlukan untuk kasus penggunaan Anda.
- Simpan kunci API dengan aman. Anda akan memerlukannya untuk konfigurasi feed Google SecOps. Ini adalah satu-satunya saat Anda akan melihat kunci lengkap, jadi pastikan untuk menyalinnya sekarang.
- (Opsional) Konfigurasi tanggal habis masa berlaku untuk kunci API demi keamanan yang lebih baik.
Bagian 2: Mengonfigurasi feed di Google SecOps
Setelah Anda membuat kunci API, konfigurasi feed di Google SecOps untuk menerima data dari Cortex XDR:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Pilih Third Party API sebagai Source type.
- Pilih jenis log yang diperlukan yang sesuai dengan data yang ingin Anda masukkan dari Cortex XDR.
- Klik Berikutnya.
- Konfigurasikan parameter input berikut:
- Endpoint API: Masukkan URL dasar untuk Cortex XDR API. ID ini dapat ditemukan di dokumentasi Cortex XDR API.
- Kunci API: Tempelkan kunci API yang Anda buat sebelumnya.
- Parameter Lainnya: Bergantung pada Cortex XDR API tertentu yang Anda gunakan, Anda mungkin perlu memberikan parameter tambahan, seperti filter data atau rentang waktu tertentu. Lihat dokumentasi Cortex XDR API untuk mengetahui detailnya.
- Klik Berikutnya, lalu klik Kirim.
Pertimbangan penting:
- Pembatasan kapasitas: Perhatikan batas kapasitas yang diberlakukan oleh Cortex XDR API. Konfigurasi feed dengan tepat agar tidak melebihi batas ini.
- Penanganan error: Terapkan penanganan error yang tepat dalam konfigurasi Google SecOps Anda untuk mengelola situasi saat Cortex XDR API tidak tersedia atau menampilkan error.
- Keamanan: Simpan kunci API dengan aman dan ikuti praktik terbaik keamanan. Lakukan rotasi kunci API secara rutin untuk meminimalkan dampak potensi penyusupan.
- Dokumentasi: Lihat dokumentasi resmi Cortex XDR API untuk mengetahui informasi mendetail tentang endpoint, parameter, dan format data yang tersedia.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
action |
security_result.action |
Jika action berisi "BLOCKED", tetapkan ke "BLOCK". |
action |
security_result.action_details |
Jika act tidak kosong, null, atau "none", gunakan nilai act. Jika tidak, jika action bukan "BLOCKED", gunakan nilai action. |
action_country |
security_result.about.location.country_or_region |
Pemetaan langsung. Juga digunakan di kolom events bertingkat. |
action_file_path |
target.resource.attribute.labels |
Membuat label dengan kunci "action_file_path" dan nilai dari kolom log. |
action_file_sha256 |
target.file.sha256 |
Mengonversi ke huruf kecil. |
action_local_port |
principal.port |
Mengonversi ke bilangan bulat. |
action_remote_ip |
target.ip |
Digabungkan ke dalam array target.ip. |
action_remote_ip |
target.asset.ip |
Digabungkan ke dalam array target.asset.ip. |
action_remote_port |
target.port |
Mengonversi ke bilangan bulat. |
act |
security_result.action_details |
Digunakan jika tidak kosong, null, atau "none". |
agent_data_collection_status |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
agent_device_domain |
target.administrative_domain |
Pemetaan langsung. |
agent_fqdn |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
agent_install_type |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
agent_is_vdi |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
agent_os_sub_type |
target.platform_version |
Pemetaan langsung. |
agent_os_type |
target.platform |
Jika "Windows", tetapkan ke "WINDOWS". |
agent_version |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
alert_id |
security_result.rule_id |
Pemetaan langsung. |
app |
target.application |
Pemetaan langsung. |
cat |
security_result.category_details |
Digabungkan ke dalam kolom security_result.category_details. |
category |
security_result.category |
Jika "Malware", tetapkan ke "SOFTWARE_MALICIOUS". |
category |
security_result.category_details |
Digabungkan ke dalam kolom security_result.category_details. |
cn1 |
network.session_id |
Pemetaan langsung. |
cn1Label |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
contains_featured_host |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
contains_featured_ip |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
contains_featured_user |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
creation_time |
metadata.event_timestamp |
Dikonversi menjadi stempel waktu. |
cs1 |
security_result.rule_name |
Digabungkan dengan cs1Label untuk membentuk security_result.rule_name. |
cs1Label |
security_result.rule_name |
Digabungkan dengan cs1 untuk membentuk security_result.rule_name. |
cs2 |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci dari cs2Label dan nilai string dari cs2. |
cs2Label |
additional.fields |
Digunakan sebagai kunci untuk nilai cs2 dalam additional.fields. |
cs3 |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci dari cs3Label dan nilai string dari cs3. |
cs3Label |
additional.fields |
Digunakan sebagai kunci untuk nilai cs3 dalam additional.fields. |
cs4 |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci dari cs4Label dan nilai string dari cs4. |
cs4Label |
additional.fields |
Digunakan sebagai kunci untuk nilai cs4 dalam additional.fields. |
cs5 |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci dari cs5Label dan nilai string dari cs5. |
cs5Label |
additional.fields |
Digunakan sebagai kunci untuk nilai cs5 dalam additional.fields. |
cs6 |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci dari cs6Label dan nilai string dari cs6. |
cs6Label |
additional.fields |
Digunakan sebagai kunci untuk nilai cs6 dalam additional.fields. |
CSPaccountname |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci "CSPaccountname" dan nilai string dari kolom log. |
description |
metadata.description |
Pemetaan langsung. Juga digunakan untuk security_result.description jika event_type bukan GENERIC_EVENT. |
destinationTranslatedAddress |
target.ip |
Digabungkan ke dalam array target.ip. |
destinationTranslatedAddress |
target.asset.ip |
Digabungkan ke dalam array target.asset.ip. |
destinationTranslatedPort |
target.port |
Dikonversi menjadi bilangan bulat jika tidak kosong atau -1. |
deviceExternalId |
security_result.about.asset_id |
Diawali dengan "Device External Id: ". |
dpt |
target.port |
Dikonversi menjadi bilangan bulat jika destinationTranslatedPort kosong atau -1. |
dst |
target.ip |
Digabungkan ke dalam array target.ip. |
dst |
target.asset.ip |
Digabungkan ke dalam array target.asset.ip. |
dst_agent_id |
target.ip |
Dikonversi menjadi alamat IP dan digabungkan ke dalam array target.ip jika IP valid. |
dst_agent_id |
target.asset.ip |
Dikonversi menjadi alamat IP dan digabungkan ke dalam array target.asset.ip jika IP valid. |
dvchost |
principal.hostname |
Pemetaan langsung. |
dvchost |
principal.asset.hostname |
Pemetaan langsung. |
endpoint_id |
target.process.product_specific_process_id |
Diawali dengan "cor:". |
event_id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
event_sub_type |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
event_timestamp |
metadata.event_timestamp |
Dikonversi menjadi stempel waktu. Juga digunakan di kolom events bertingkat. |
event_type |
metadata.event_type |
Dipetakan ke jenis peristiwa UDM berdasarkan logika. Juga digunakan di kolom events bertingkat. |
event_type |
metadata.product_event_type |
Pemetaan langsung. |
event_type |
security_result.threat_name |
Pemetaan langsung. |
events |
Peristiwa Bertingkat | Kolom dalam array events dipetakan ke kolom UDM yang sesuai dalam objek events bertingkat. Lihat pemetaan kolom individual untuk mengetahui detailnya. |
external_id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fileId |
target.resource.attribute.labels |
Membuat label dengan kunci "fileId" dan nilai dari kolom log. |
fileHash |
target.file.sha256 |
Dikonversi menjadi huruf kecil. Menetapkan metadata.event_type ke FILE_UNCATEGORIZED. |
filePath |
target.file.full_path |
Pemetaan langsung. Menetapkan metadata.event_type ke FILE_UNCATEGORIZED. |
fw_app_category |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_app_id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_app_subcategory |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_app_technology |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_device_name |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_email_recipient |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_email_sender |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_email_subject |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_interface_from |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_interface_to |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_is_phishing |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_misc |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_rule |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_rule_id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_serial_number |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_url_domain |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_vsys |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
fw_xff |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
host_ip |
principal.ip |
Dipisahkan dengan koma dan digabungkan ke dalam array principal.ip. |
host_ip |
principal.asset.ip |
Dipisahkan dengan koma dan digabungkan ke dalam array principal.asset.ip. |
host_name |
principal.hostname |
Pemetaan langsung. |
host_name |
principal.asset.hostname |
Pemetaan langsung. |
hosts |
target.hostname |
Mengekstrak nama host dari elemen pertama array hosts. |
hosts |
target.asset.hostname |
Mengekstrak nama host dari elemen pertama array hosts. |
hosts |
target.user.employee_id |
Mengekstrak ID pengguna dari elemen pertama array hosts. |
incident_id |
metadata.product_log_id |
Pemetaan langsung. |
is_whitelisted |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
local_insert_ts |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
mac |
principal.mac |
Dipisahkan dengan koma dan digabungkan ke dalam array principal.mac. |
matching_status |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM akhir. |
metadata.description |
security_result.description |
Digunakan jika event_type adalah GENERIC_EVENT. |
metadata.event_type |
metadata.event_type |
Ditetapkan berdasarkan logika menggunakan event_type, host_ip, dan kolom lainnya. |
metadata.log_type |
metadata.log_type |
Tetapkan ke "CORTEX_XDR". |
metadata.product_name |
metadata.product_name |
Tetapkan ke "Cortex". |
metadata.vendor_name |
metadata.vendor_name |
Tetapkan ke "Palo Alto Networks". |
msg |
security_result.description |
Pemetaan langsung. |
name |
security_result.summary |
Pemetaan langsung. |
PanOSDGHierarchyLevel1 |
security_result.detection_fields |
Membuat pasangan nilai kunci di security_result.detection_fields dengan kunci "PanOSDGHierarchyLevel1" dan nilai dari kolom log. |
PanOSDestinationLocation |
target.location.country_or_region |
Pemetaan langsung. |
PanOSDynamicUserGroupName |
principal.group.group_display_name |
Pemetaan langsung jika tidak kosong atau "-". |
PanOSSourceLocation |
principal.location.country_or_region |
Pemetaan langsung. |
PanOSThreatCategory |
security_result.category_details |
Digabungkan ke dalam kolom security_result.category_details. |
PanOSThreatID |
security_result.threat_id |
Pemetaan langsung. |
principal.asset.attribute.labels |
principal.asset.attribute.labels |
Membuat label dengan kunci "Sumber" dan nilai dari kolom source. |
proto |
network.ip_protocol |
Dikonversi menjadi huruf besar. Menetapkan metadata.event_type ke NETWORK_CONNECTION. |
request |
network.http.referral_url |
Pemetaan langsung. |
rt |
metadata.event_timestamp |
Dikonversi menjadi stempel waktu. |
security_result.severity |
security_result.severity |
Tetapkan ke nilai huruf besar severity. |
severity |
security_result.severity |
Dikonversi menjadi huruf besar. |
shost |
principal.hostname |
Pemetaan langsung. Menetapkan metadata.event_type ke STATUS_UPDATE. |
shost |
principal.asset.hostname |
Pemetaan langsung. Menetapkan metadata.event_type ke STATUS_UPDATE. |
source |
principal.asset.attribute.labels |
Digunakan sebagai nilai untuk label "Sumber". |
source |
security_result.summary |
Digunakan jika filter not_json dan grok cocok. |
sourceTranslatedAddress |
principal.ip |
Digabungkan ke dalam array principal.ip. |
sourceTranslatedAddress |
principal.asset.ip |
Digabungkan ke dalam array principal.asset.ip. |
sourceTranslatedPort |
principal.port |
Dikonversi menjadi bilangan bulat jika tidak kosong atau -1. |
spt |
principal.port |
Dikonversi ke bilangan bulat. |
sr_summary |
security_result.summary |
Digunakan jika filter not_json dan grok cocok. |
src |
principal.ip |
Digabungkan ke dalam array principal.ip. |
src |
principal.asset.ip |
Digabungkan ke dalam array principal.asset.ip. |
suser |
principal.user.user_display_name |
Pemetaan langsung. |
tenantCDLid |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci "tenantCDLid" dan nilai string dari kolom log. |
tenantname |
additional.fields |
Membuat pasangan nilai kunci di additional.fields dengan kunci "tenantname" dan nilai string dari kolom log. |
users |
target.user.userid |
Menggunakan elemen pertama dari array users. |
xdr_url |
metadata.url_back_to_product |
Pemetaan langsung. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.