Raccogliere i log degli avvisi di Palo Alto Cortex XDR

Supportato in:

Questo documento descrive come raccogliere i log degli avvisi di Palo Alto Cortex XDR impostando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione CORTEX_XDR.

Configurare gli avvisi di Palo Alto Cortex XDR

Per configurare gli avvisi di Palo Alto Cortex XDR, completa le seguenti attività:

Ottieni la chiave API per gli avvisi di Palo Alto Cortex XDR

  1. Accedi al portale Cortex XDR.
  2. Nel menu Impostazioni, fai clic su Impostazioni.
  3. Seleziona +Nuova chiave.
  4. Nella sezione Livello di sicurezza, seleziona Avanzate.
  5. Nella sezione Ruoli, seleziona Visualizzatore.
  6. Fai clic su Genera.
  7. Copia la chiave API e fai clic su Fine. La chiave API rappresenta la tua chiave di autorizzazione univoca e viene visualizzata solo al momento della creazione. È obbligatorio quando configuri il feed di Google Security Operations.

Ottieni l'ID chiave API per gli avvisi di Palo Alto Cortex XDR

Nella sezione Configurazioni, vai a Chiavi API > ID. Prendi nota del numero ID corrispondente, che rappresenta il token x-xdr-auth-id:{key_id}.

Ottieni FQDN

  1. Vai a Chiavi API.
  2. Fai clic su Copia URL. Salva l'URL, che è obbligatorio quando configuri il feed di Google Security Operations.

Configura un feed in Google Security Operations per importare i log degli avvisi di Palo Alto Cortex XDR

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Add New (Aggiungi nuovo).
  3. Inserisci un nome univoco per il nome del campo.
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Avvisi Palo Alto Cortex XDR come Tipo di log.
  6. Fai clic su Avanti.
  7. Configura i seguenti parametri di input obbligatori:
    • Intestazioni HTTP di autenticazione: fornisci la chiave di autorizzazione e l'ID chiave di autorizzazione che hai ottenuto in precedenza.
    • Nome host dell'API: fornisci l'URL ottenuto in precedenza.
    • Endpoint: specifica l'endpoint.
  8. Fai clic su Avanti e poi su Invia.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser estrae i log di sicurezza da Palo Alto Networks Cortex XDR in formato JSON o SYSLOG (chiave-valore), normalizza i campi e li mappa all'UDM. Gestisce i formati JSON e chiave-valore, esegue l'estrazione della data, arricchisce i dati con metadati e struttura l'output per l'importazione in Google SecOps.

Abilita le richieste API REST su Cortex XDR e configura un feed Google SecOps

Questa guida fornisce istruzioni dettagliate per attivare le richieste API REST su Cortex XDR e configurare un feed corrispondente in Google SecOps.

Parte 1: abilita le richieste API REST su Cortex XDR

Cortex XDR utilizza le chiavi API per l'autenticazione. Per generare una chiave API:

  1. Accedi alla console di gestione di Cortex XDR.
  2. Vai a Impostazioni.
  3. Accedi a Chiavi API.
  4. Genera una nuova chiave.
  5. Fornisci un nome per la chiave (ad esempio "Integrazione SecOps").
  6. Assegna alla chiave API le autorizzazioni necessarie per accedere ai dati richiesti. Questo è fondamentale per la sicurezza e garantisce che la chiave abbia accesso solo a ciò di cui ha bisogno. Consulta la documentazione di Cortex XDR per le autorizzazioni specifiche richieste per il tuo caso d'uso.
  7. Memorizza la chiave API in modo sicuro. Ti servirà per la configurazione del feed di Google SecOps. Questa è l'unica volta in cui vedrai la chiave completa, quindi assicurati di copiarla ora.
  8. (Facoltativo) Configura una data di scadenza per la chiave API per una maggiore sicurezza.

Parte 2: configura il feed in Google SecOps

Dopo aver generato la chiave API, configura il feed in Google SecOps per ricevere i dati da Cortex XDR:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Seleziona API di terze parti come Tipo di origine.
  4. Seleziona il tipo di log richiesto che corrisponde ai dati che vuoi importare da Cortex XDR.
  5. Fai clic su Avanti.
  6. Configura i seguenti parametri di input:
    • Endpoint API: inserisci l'URL base per l'API Cortex XDR. Puoi trovarlo nella documentazione dell'API Cortex XDR.
    • Chiave API: incolla la chiave API generata in precedenza.
    • Altri parametri: a seconda dell'API Cortex XDR specifica in uso, potrebbe essere necessario fornire parametri aggiuntivi, ad esempio filtri di dati o intervalli di tempo specifici. Per informazioni dettagliate, consulta la documentazione dell'API Cortex XDR.
  7. Fai clic su Avanti e poi su Invia.

Considerazioni importanti:

  • Limitazione di frequenza: tieni presente eventuali limiti di frequenza imposti dall'API Cortex XDR. Configura il feed di conseguenza per evitare di superare questi limiti.
  • Gestione degli errori: implementa una gestione degli errori adeguata nella configurazione di Google SecOps per gestire le situazioni in cui l'API Cortex XDR non è disponibile o restituisce errori.
  • Sicurezza: archivia in modo sicuro la chiave API e segui le best practice per la sicurezza. Ruota regolarmente le chiavi API per ridurre al minimo l'impatto di potenziali compromessi.
  • Documentazione: consulta la documentazione ufficiale dell'API Cortex XDR per informazioni dettagliate su endpoint, parametri e formati di dati disponibili.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
action security_result.action Se action contiene "BLOCKED", imposta "BLOCK".
action security_result.action_details Se act non è vuoto, null o "none", utilizza il valore di act. In caso contrario, se action non è "BLOCKED" (BLOccato), utilizza il valore di action.
action_country security_result.about.location.country_or_region Mappatura diretta. Utilizzato anche nel campo events nidificato.
action_file_path target.resource.attribute.labels Crea un'etichetta con la chiave "action_file_path" e il valore dal campo del log.
action_file_sha256 target.file.sha256 Viene convertito in minuscolo.
action_local_port principal.port Converte in numero intero.
action_remote_ip target.ip Unito all'array target.ip.
action_remote_ip target.asset.ip Unito all'array target.asset.ip.
action_remote_port target.port Converte in numero intero.
act security_result.action_details Da utilizzare se non vuoto, nullo o "none".
agent_data_collection_status Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
agent_device_domain target.administrative_domain Mappatura diretta.
agent_fqdn Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
agent_install_type Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
agent_is_vdi Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
agent_os_sub_type target.platform_version Mappatura diretta.
agent_os_type target.platform Se "Windows", imposta "WINDOWS".
agent_version Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
alert_id security_result.rule_id Mappatura diretta.
app target.application Mappatura diretta.
cat security_result.category_details Unito al campo security_result.category_details.
category security_result.category Se "Malware", imposta "SOFTWARE_MALICIOUS".
category security_result.category_details Unito al campo security_result.category_details.
cn1 network.session_id Mappatura diretta.
cn1Label Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
contains_featured_host Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
contains_featured_ip Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
contains_featured_user Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
creation_time metadata.event_timestamp Convertito in timestamp.
cs1 security_result.rule_name Concatenato con cs1Label per formare il security_result.rule_name.
cs1Label security_result.rule_name Concatenato con cs1 per formare il security_result.rule_name.
cs2 additional.fields Crea una coppia chiave-valore in additional.fields con la chiave di cs2Label e il valore di stringa di cs2.
cs2Label additional.fields Utilizzato come chiave per il valore cs2 in additional.fields.
cs3 additional.fields Crea una coppia chiave-valore in additional.fields con la chiave di cs3Label e il valore di stringa di cs3.
cs3Label additional.fields Utilizzato come chiave per il valore cs3 in additional.fields.
cs4 additional.fields Crea una coppia chiave-valore in additional.fields con la chiave di cs4Label e il valore di stringa di cs4.
cs4Label additional.fields Utilizzato come chiave per il valore cs4 in additional.fields.
cs5 additional.fields Crea una coppia chiave-valore in additional.fields con la chiave di cs5Label e il valore di stringa di cs5.
cs5Label additional.fields Utilizzato come chiave per il valore cs5 in additional.fields.
cs6 additional.fields Crea una coppia chiave-valore in additional.fields con la chiave di cs6Label e il valore di stringa di cs6.
cs6Label additional.fields Utilizzato come chiave per il valore cs6 in additional.fields.
CSPaccountname additional.fields Crea una coppia chiave-valore in additional.fields con la chiave "CSPaccountname" e il valore di stringa dal campo del log.
description metadata.description Mappatura diretta. Utilizzato anche per security_result.description se event_type non è GENERIC_EVENT.
destinationTranslatedAddress target.ip Unito all'array target.ip.
destinationTranslatedAddress target.asset.ip Unito all'array target.asset.ip.
destinationTranslatedPort target.port Convertito in numero intero se non vuoto o -1.
deviceExternalId security_result.about.asset_id Deve essere preceduto da "ID esterno dispositivo: ".
dpt target.port Convertito in numero intero se destinationTranslatedPort è vuoto o -1.
dst target.ip Unito all'array target.ip.
dst target.asset.ip Unito all'array target.asset.ip.
dst_agent_id target.ip Convertito in indirizzo IP e unito all'array target.ip se l'IP è valido.
dst_agent_id target.asset.ip Convertito in indirizzo IP e unito all'array target.asset.ip se l'IP è valido.
dvchost principal.hostname Mappatura diretta.
dvchost principal.asset.hostname Mappatura diretta.
endpoint_id target.process.product_specific_process_id Deve essere preceduto dal prefisso "cor:".
event_id Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
event_sub_type Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
event_timestamp metadata.event_timestamp Convertito in timestamp. Utilizzato anche nel campo events nidificato.
event_type metadata.event_type Mappato a un tipo di evento UDM in base alla logica. Utilizzato anche nel campo events nidificato.
event_type metadata.product_event_type Mappatura diretta.
event_type security_result.threat_name Mappatura diretta.
events Eventi nidificati I campi all'interno dell'array events vengono mappati ai campi UDM corrispondenti all'interno degli oggetti events nidificati. Per informazioni dettagliate, consulta le singole mappature dei campi.
external_id Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fileId target.resource.attribute.labels Crea un'etichetta con la chiave "fileId" e il valore dal campo del log.
fileHash target.file.sha256 Convertito in minuscolo. Imposta metadata.event_type su FILE_UNCATEGORIZED.
filePath target.file.full_path Mappatura diretta. Imposta metadata.event_type su FILE_UNCATEGORIZED.
fw_app_category Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_app_id Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_app_subcategory Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_app_technology Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_device_name Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_email_recipient Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_email_sender Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_email_subject Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_interface_from Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_interface_to Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_is_phishing Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_misc Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_rule Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_rule_id Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_serial_number Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_url_domain Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_vsys Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
fw_xff Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
host_ip principal.ip Dividi per virgola e unisci nell'array principal.ip.
host_ip principal.asset.ip Dividi per virgola e unisci nell'array principal.asset.ip.
host_name principal.hostname Mappatura diretta.
host_name principal.asset.hostname Mappatura diretta.
hosts target.hostname Estrae il nome host dal primo elemento dell'array hosts.
hosts target.asset.hostname Estrae il nome host dal primo elemento dell'array hosts.
hosts target.user.employee_id Estrae l'ID utente dal primo elemento dell'array hosts.
incident_id metadata.product_log_id Mappatura diretta.
is_whitelisted Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
local_insert_ts Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
mac principal.mac Dividi per virgola e unisci nell'array principal.mac.
matching_status Nessuna mappatura Sebbene sia presente nel log non elaborato, questo campo non è mappato all'oggetto IDM nell'UDM finale.
metadata.description security_result.description Utilizzato se event_type è GENERIC_EVENT.
metadata.event_type metadata.event_type Impostato in base a una logica che utilizza event_type, host_ip e altri campi.
metadata.log_type metadata.log_type Impostato su "CORTEX_XDR".
metadata.product_name metadata.product_name Imposta su "Cortex".
metadata.vendor_name metadata.vendor_name Imposta su "Palo Alto Networks".
msg security_result.description Mappatura diretta.
name security_result.summary Mappatura diretta.
PanOSDGHierarchyLevel1 security_result.detection_fields Crea una coppia chiave-valore in security_result.detection_fields con la chiave "PanOSDGHierarchyLevel1" e il valore dal campo del log.
PanOSDestinationLocation target.location.country_or_region Mappatura diretta.
PanOSDynamicUserGroupName principal.group.group_display_name Mappatura diretta se non vuota o "-".
PanOSSourceLocation principal.location.country_or_region Mappatura diretta.
PanOSThreatCategory security_result.category_details Unito al campo security_result.category_details.
PanOSThreatID security_result.threat_id Mappatura diretta.
principal.asset.attribute.labels principal.asset.attribute.labels Crea un'etichetta con chiave "Origine" e valore dal campo source.
proto network.ip_protocol Convertito in maiuscolo. Imposta metadata.event_type su NETWORK_CONNECTION.
request network.http.referral_url Mappatura diretta.
rt metadata.event_timestamp Convertito in timestamp.
security_result.severity security_result.severity Imposta il valore in maiuscolo di severity.
severity security_result.severity Convertito in maiuscolo.
shost principal.hostname Mappatura diretta. Imposta metadata.event_type su STATUS_UPDATE.
shost principal.asset.hostname Mappatura diretta. Imposta metadata.event_type su STATUS_UPDATE.
source principal.asset.attribute.labels Utilizzato come valore per l'etichetta "Origine".
source security_result.summary Utilizzato se i filtri not_json e grok corrispondono.
sourceTranslatedAddress principal.ip Unito all'array principal.ip.
sourceTranslatedAddress principal.asset.ip Unito all'array principal.asset.ip.
sourceTranslatedPort principal.port Convertito in numero intero se non vuoto o -1.
spt principal.port Convertito in numero intero.
sr_summary security_result.summary Utilizzato se i filtri not_json e grok corrispondono.
src principal.ip Unito all'array principal.ip.
src principal.asset.ip Unito all'array principal.asset.ip.
suser principal.user.user_display_name Mappatura diretta.
tenantCDLid additional.fields Crea una coppia chiave-valore in additional.fields con la chiave "tenantCDLid" e il valore di stringa dal campo del log.
tenantname additional.fields Crea una coppia chiave-valore in additional.fields con la chiave "tenantname" e il valore stringa dal campo del log.
users target.user.userid Utilizza il primo elemento dell'array users.
xdr_url metadata.url_back_to_product Mappatura diretta.

Modifiche

2024-07-05

  • "isInteractive" è stato mappato a "security_result.detection_fields".

2024-04-02

  • "properties.createdDateTime" è stato mappato a "metadata.event_timestamp".
  • "properties.resourceServicePrincipalId" e "resourceServicePrincipalId" sono stati mappati a "target.resource.attribute.labels".
  • "properties.authenticationProcessingDetails", "authenticationProcessingDetails" e "properties.networkLocationDetails" sono stati mappati a "additional.fields".
  • "properties.userAgent" è stato mappato a "network.http.user_agent" e "network.http.parsed_user_agent".
  • "properties.authenticationRequirement" è stato mappato a "additional.fields".

2024-04-17

  • "action_local_port" è stato mappato a "principal.port".
  • "dst_agent_id" è stato mappato a "principal.ip".
  • "action_remote_ip" è stato mappato a "target.ip".
  • "action_remote_port" è stato mappato a "target.ip".
  • È stato aggiunto il controllo se "target_device" è presente prima di impostare "metadata.event_type" su "NETWORK_CONNECTION".

2024-03-15

  • È stato aggiunto un pattern Grok per recuperare "source" e "sr_summary" dall'intestazione del messaggio.
  • "sr_summary" è stato mappato a "security_result.summary".

2024-03-11

  • È stato aggiunto il supporto per i log nel formato CEF.
  • "rt" è stato mappato a "metadata.event_timestamp".
  • Ho mappato "category" e "cat" a "security_result.category_details".
  • "cs2Label", "cs2", "tenantname", "tenantCDLid" e "CSPaccountname" sono stati mappati a "additional.fields".
  • "shost" è stato mappato a "principal.hostname" e "principal.asset.hostname".
  • "spt" è stato mappato a "principal.port".
  • "src" è stato mappato a "principal.ip" e "principal.asset.ip".
  • "suser" è stato mappato a "principal.user.user_display_name".
  • "dpt" è stato mappato a "target.port".
  • "dst" è stato mappato a "target.ip" e "target.asset.ip".
  • "fileHash" è stato mappato a "target.file.sha256".
  • "filePath" è stato mappato a "target.file.full_path".
  • "request" è stato mappato a "network.http.referral_url".
  • "msg" è stato mappato a "security_result.description".

2024-01-18

  • È stata modificata la mappatura di "action_file_path" da "target.file.full_path" a "target.resource.attribute.labels".
  • "domain" è stato mappato a "target.asset.hostname".
  • "destinationTranslatedAddress" è stato mappato a "target.asset.ip".
  • "host_name" è stato mappato a "principal.asset.hostname".
  • "dvchost" è stato mappato a "principal.asset.hostname".
  • "ip" è stato mappato a "principal.asset.ip".
  • "sourceTranslatedAddress" è stato mappato a "principal.asset.ip".

2023-11-10

  • Quando "event_type" è "RPC Call", mappa "metadata.event_type" a "STATUS_UPDATE".
  • "events.action_country" è stato mappato a "security_result.about.location.country_or_region".
  • "events.actor_process_command_line" è stato mappato a "target.process.command_line".
  • "events.actor_process_image_md5" è stato mappato a "target.file.md5".
  • "events.actor_process_image_path" è stato mappato a "target.file.full_path".
  • "events.actor_process_image_sha256" è stato mappato a "target.file.sha256".
  • "events.actor_process_instance_id" è stato mappato a "target.process.pid".
  • "events.os_actor_process_command_line" è stato mappato a "principal.process.command_line".
  • "events.os_actor_process_image_path" è stato mappato a "principal.file.full_path".
  • È stata mappata la colonna "events.os_actor_process_image_sha256" a "principal.file.sha256".
  • "events.os_actor_process_instance_id" è stato mappato a "principal.process.pid".
  • "events.causality_actor_process_command_line" è stato mappato a "intermediary.process.command_line".
  • "events.causality_actor_process_image_path" è stato mappato a "intermediary.file.full_path".
  • È stato mappato "events.causality_actor_process_image_sha256" a "intermediary.file.sha256".
  • "events.causality_actor_process_instance_id" è stato mappato a "intermediary.process.pid".
  • "events.causality_actor_process_image_md5" è stato mappato a "intermediary.file.md5".
  • "events.event_type" è stato mappato a "metadata.product_event_type".
  • "events.user_name" è stato mappato a "principal.user.user_display_name".

2023-10-16

  • "source" è stato mappato a "principal.asset.attribute.labels".
  • Imposta "metadata.event_type" su "NETWORK_CONNECTION" se "event_type" è in "Network Connections" o "Network Event".

2022-11-03

  • "PanOSConfigVersion" è stato mappato a "security_result.detection_fields".
  • "PanOSContentVersion" è stato mappato a "security_result.detection_fields".
  • "PanOSDGHierarchyLevel1" è stato mappato a "security_result.detection_fields".
  • "PanOSDestinationLocation" è stato mappato a "target.location.country_or_region".
  • "PanOSDynamicUserGroupName" è stato mappato a "principal.group.group_display_name".
  • "PanOSSourceLocation" è stato mappato a "principal.location.country_or_region".
  • "PanOSThreatCategory" è stato mappato a "security_result.category_details".
  • "PanOSThreatID" è stato mappato a "security_result.threat_id".
  • "app" è stato mappato a "target.application".
  • "cs1" è stato mappato a "additional.fields".
  • "cs3" è stato mappato a "additional.fields".
  • "cs4" è stato mappato a "additional.fields".
  • "cs5" è stato mappato a "additional.fields".
  • "cs6" è stato mappato a "additional.fields".
  • "cn1" è stato mappato a "additional.fields".
  • "sourceTranslatedPort" è stato mappato a "principal.port".
  • "sourceTranslatedAddress" è stato mappato a "principal.ip".
  • "destinationTranslatedAddress" è stato mappato a "target.ip".
  • "destinationTranslatedPort" è stato mappato a "target.port".
  • "act" è stato mappato a "security_result.action_details".
  • "deviceExternalId" è stato mappato a "security_result.about.asset_id".
  • "dvchost" è stato mappato a "principal.hostname".
  • "proto" è stato mappato a "network.ip_protocol".
  • "fileId" è stato mappato a "target.resource.attribute.labels".