Palo Alto Cortex XDR アラートログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フィードを設定して Palo Alto Cortex XDR アラートログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CORTEX_XDR が付加されたパーサーに適用されます。
Palo Alto Cortex XDR アラートを構成する
Palo Alto Cortex XDR アラートを構成するには、次のタスクを完了します。
- Palo Alto Cortex XDR アラート API キーを取得します。
- Palo Alto Cortex XDR アラート API キー ID を取得します。
- 完全修飾ドメイン名(FQDN)を取得します。
Palo Alto Cortex XDR アラート API キーを取得する
- Cortex XDR ポータルにログインします。
- [設定] メニューで [設定] をクリックします。
- [+ 新しいキー] を選択します。
- [セキュリティ レベル] セクションで、[詳細] を選択します。
- [ロール] セクションで、[閲覧者] を選択します。
- [生成] をクリックします。
- API キーをコピーし、[完了] をクリックします。API キーは、一意の認可キーを表し、作成時にのみ表示されます。Google Security Operations フィードを構成するときに必要になります。
Palo Alto Cortex XDR アラート API キー ID を取得する
[構成] セクションで、[API キー] > [ID] に移動します。x-xdr-auth-id:{key_id} トークンを表す対応する ID 番号をメモします。
FQDN を取得
- API キーに移動します。
- [URL をコピー] をクリックします。URL を保存します。これは、Google Security Operations フィードを構成するときに必要になります。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [Content Hub] > [Content Packs]
[SIEM 設定] > [フィード] でフィードを設定する
このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。
1 つのフィードを設定する手順は次のとおりです。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで、[単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Palo Alto Cortex XDR Alerts Logs)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Palo Alto Cortex XDR Alerts] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- 認証 HTTP ヘッダー: 前の手順で取得した認証キーと認証キー ID を指定します。
- API ホスト名: 前に取得した URL を指定します。
- エンドポイント: エンドポイントを指定します。
- [次へ] をクリックしてから、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。 各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。
コンテンツ ハブからフィードを設定する
次のフィールドに値を指定します。
- 認証 HTTP ヘッダー: 前の手順で取得した認証キーと認証キー ID を指定します。
- API ホスト名: 前に取得した URL を指定します。
- エンドポイント: エンドポイントを指定します。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- Asset Namespace: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
フィールド マッピング リファレンス
このパーサーは、JSON 形式または SYSLOG(Key-Value)形式の Palo Alto Networks Cortex XDR からセキュリティ ログを抽出し、フィールドを正規化して UDM にマッピングします。JSON 形式と Key-Value 形式の両方を処理し、日付の抽出を実行し、メタデータでデータを拡充し、Google SecOps に取り込むための出力を構造化します。
Cortex XDR で REST API リクエストを有効にして、Google SecOps フィードを構成する
このガイドでは、Cortex XDR で REST API リクエストを有効にし、Google SecOps で対応するフィードを構成する手順について説明します。
パート 1: Cortex XDR で REST API リクエストを有効にする
Cortex XDR は認証に API キーを使用します。API キーを生成する手順は次のとおりです。
- Cortex XDR 管理コンソールにログインします。
- [設定] に移動します。
- [API キー] にアクセスします。
- 新しいキーを生成します。
- キー名を指定します(例:「SecOps Integration」)。
- 必要なデータにアクセスするために必要な権限を API キーに割り当てます。これはセキュリティに不可欠であり、キーが必要なものにのみアクセスできるようにします。ユースケースに必要な特定の権限については、Cortex XDR のドキュメントをご覧ください。
- API キーを安全に保存します。これは Google SecOps フィードの構成に必要です。キー全体が表示されるのはこのときだけです。必ずコピーしてください。
- (省略可)セキュリティを強化するために、API キーの有効期限を構成します。
パート 2: Google SecOps でフィードを構成する
API キーを生成したら、Cortex XDR からデータを受信するように Google SecOps でフィードを構成します。
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [ソースタイプ] として [サードパーティ API] を選択します。
- Cortex XDR から取り込むデータに対応する必要なログタイプを選択します。
- [次へ] をクリックします。
- 次の入力パラメータを構成します。
- API エンドポイント: Cortex XDR API のベース URL を入力します。これは、Cortex XDR API ドキュメントで確認できます。
- API キー: 前に生成した API キーを貼り付けます。
- その他のパラメータ: 使用する特定の Cortex XDR API に応じて、特定のデータフィルタや期間などの追加パラメータを指定する必要がある場合があります。詳細については、Cortex XDR API ドキュメントをご覧ください。
- [次へ] をクリックしてから、[送信] をクリックします。
重要な考慮事項:
- レート制限: Cortex XDR API によって課せられるレート制限に注意してください。これらの上限を超えないように、フィードを構成してください。
- エラー処理: Cortex XDR API が使用できない場合やエラーが返された場合に対処するため、Google SecOps 構成に適切なエラー処理を実装します。
- セキュリティ: API キーを安全に保存し、セキュリティのベスト プラクティスに従います。API キーを定期的にローテーションして、不正使用による影響を最小限に抑えます。
- ドキュメント: 利用可能なエンドポイント、パラメータ、データ形式の詳細については、Cortex XDR API の公式ドキュメントをご覧ください。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
action |
security_result.action |
action に「BLOCKED」が含まれている場合は、「BLOCK」に設定します。 |
action |
security_result.action_details |
act が空、null、または「none」でない場合は、act の値を使用します。それ以外の場合、action が「BLOCKED」でない場合は、action の値を使用します。 |
action_country |
security_result.about.location.country_or_region |
直接マッピング。ネストされた events フィールドでも使用されます。 |
action_file_path |
target.resource.attribute.labels |
キー「action_file_path」とログフィールドの値でラベルを作成します。 |
action_file_sha256 |
target.file.sha256 |
小文字に変換します。 |
action_local_port |
principal.port |
整数に変換します。 |
action_remote_ip |
target.ip |
target.ip 配列に統合されます。 |
action_remote_ip |
target.asset.ip |
target.asset.ip 配列に統合されます。 |
action_remote_port |
target.port |
整数に変換します。 |
act |
security_result.action_details |
空、null、または「none」でない場合に使用されます。 |
agent_data_collection_status |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
agent_device_domain |
target.administrative_domain |
直接マッピング。 |
agent_fqdn |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
agent_install_type |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
agent_is_vdi |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
agent_os_sub_type |
target.platform_version |
直接マッピング。 |
agent_os_type |
target.platform |
「Windows」の場合は、「WINDOWS」に設定します。 |
agent_version |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
alert_id |
security_result.rule_id |
直接マッピング。 |
app |
target.application |
直接マッピング。 |
cat |
security_result.category_details |
security_result.category_details フィールドに統合されます。 |
category |
security_result.category |
「Malware」の場合は、[SOFTWARE_MALICIOUS] に設定します。 |
category |
security_result.category_details |
security_result.category_details フィールドに統合されます。 |
cn1 |
network.session_id |
直接マッピング。 |
cn1Label |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
contains_featured_host |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
contains_featured_ip |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
contains_featured_user |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
creation_time |
metadata.event_timestamp |
タイムスタンプに変換されます。 |
cs1 |
security_result.rule_name |
cs1Label と連結して security_result.rule_name を形成します。 |
cs1Label |
security_result.rule_name |
cs1 と連結して security_result.rule_name を形成します。 |
cs2 |
additional.fields |
additional.fields に Key-Value ペアを作成します。キーは cs2Label、値は cs2 の文字列です。 |
cs2Label |
additional.fields |
additional.fields の cs2 値のキーとして使用されます。 |
cs3 |
additional.fields |
additional.fields に Key-Value ペアを作成します。キーは cs3Label、値は cs3 の文字列です。 |
cs3Label |
additional.fields |
additional.fields の cs3 値のキーとして使用されます。 |
cs4 |
additional.fields |
additional.fields に Key-Value ペアを作成します。キーは cs4Label、値は cs4 の文字列です。 |
cs4Label |
additional.fields |
additional.fields の cs4 値のキーとして使用されます。 |
cs5 |
additional.fields |
additional.fields に Key-Value ペアを作成します。キーは cs5Label、値は cs5 の文字列です。 |
cs5Label |
additional.fields |
additional.fields の cs5 値のキーとして使用されます。 |
cs6 |
additional.fields |
additional.fields に Key-Value ペアを作成します。キーは cs6Label、値は cs6 の文字列です。 |
cs6Label |
additional.fields |
additional.fields の cs6 値のキーとして使用されます。 |
CSPaccountname |
additional.fields |
additional.fields に Key-Value ペアを作成します。キーは「CSPaccountname」、値はログフィールドの文字列です。 |
description |
metadata.description |
直接マッピング。event_type が GENERIC_EVENT でない場合は、security_result.description にも使用されます。 |
destinationTranslatedAddress |
target.ip |
target.ip 配列に統合されます。 |
destinationTranslatedAddress |
target.asset.ip |
target.asset.ip 配列に統合されます。 |
destinationTranslatedPort |
target.port |
空または -1 でない場合、整数に変換されます。 |
deviceExternalId |
security_result.about.asset_id |
「Device External Id:」の接頭辞が付いています。 |
dpt |
target.port |
destinationTranslatedPort が空または -1 の場合、整数に変換されます。 |
dst |
target.ip |
target.ip 配列に統合されます。 |
dst |
target.asset.ip |
target.asset.ip 配列に統合されます。 |
dst_agent_id |
target.ip |
有効な IP の場合、IP アドレスに変換され、target.ip 配列に統合されます。 |
dst_agent_id |
target.asset.ip |
有効な IP の場合、IP アドレスに変換され、target.asset.ip 配列に統合されます。 |
dvchost |
principal.hostname |
直接マッピング。 |
dvchost |
principal.asset.hostname |
直接マッピング。 |
endpoint_id |
target.process.product_specific_process_id |
「cor:」の接頭辞が付いています。 |
event_id |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
event_sub_type |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
event_timestamp |
metadata.event_timestamp |
タイムスタンプに変換されます。ネストされた events フィールドでも使用されます。 |
event_type |
metadata.event_type |
ロジックに基づいて UDM イベントタイプにマッピングされます。ネストされた events フィールドでも使用されます。 |
event_type |
metadata.product_event_type |
直接マッピング。 |
event_type |
security_result.threat_name |
直接マッピング。 |
events |
ネストされたイベント | events 配列内のフィールドは、ネストされた events オブジェクト内の対応する UDM フィールドにマッピングされます。詳しくは、個々のフィールド マッピングをご覧ください。 |
external_id |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fileId |
target.resource.attribute.labels |
キー「fileId」とログフィールドの値でラベルを作成します。 |
fileHash |
target.file.sha256 |
小文字に変換されます。metadata.event_type を FILE_UNCATEGORIZED に設定します。 |
filePath |
target.file.full_path |
直接マッピング。metadata.event_type を FILE_UNCATEGORIZED に設定します。 |
fw_app_category |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_app_id |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_app_subcategory |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_app_technology |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_device_name |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_email_recipient |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_email_sender |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_email_subject |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_interface_from |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_interface_to |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_is_phishing |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_misc |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_rule |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_rule_id |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_serial_number |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_url_domain |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_vsys |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
fw_xff |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
host_ip |
principal.ip |
カンマで分割され、principal.ip 配列に統合されます。 |
host_ip |
principal.asset.ip |
カンマで分割され、principal.asset.ip 配列に統合されます。 |
host_name |
principal.hostname |
直接マッピング。 |
host_name |
principal.asset.hostname |
直接マッピング。 |
hosts |
target.hostname |
hosts 配列の最初の要素からホスト名を抽出します。 |
hosts |
target.asset.hostname |
hosts 配列の最初の要素からホスト名を抽出します。 |
hosts |
target.user.employee_id |
hosts 配列の最初の要素からユーザー ID を抽出します。 |
incident_id |
metadata.product_log_id |
直接マッピング。 |
is_whitelisted |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
local_insert_ts |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
mac |
principal.mac |
カンマで分割され、principal.mac 配列に統合されます。 |
matching_status |
マッピングされません | このフィールドは未加工ログには存在しますが、最終的な UDM の IDM オブジェクトにはマッピングされません。 |
metadata.description |
security_result.description |
event_type が GENERIC_EVENT の場合に使用されます。 |
metadata.event_type |
metadata.event_type |
event_type、host_ip などのフィールドを使用してロジックに基づいて設定します。 |
metadata.log_type |
metadata.log_type |
「CORTEX_XDR」に設定します。 |
metadata.product_name |
metadata.product_name |
「Cortex」に設定します。 |
metadata.vendor_name |
metadata.vendor_name |
「Palo Alto Networks」に設定します。 |
msg |
security_result.description |
直接マッピング。 |
name |
security_result.summary |
直接マッピング。 |
PanOSDGHierarchyLevel1 |
security_result.detection_fields |
security_result.detection_fields に Key-Value ペアを作成します。キーは「PanOSDGHierarchyLevel1」、値はログフィールドの値です。 |
PanOSDestinationLocation |
target.location.country_or_region |
直接マッピング。 |
PanOSDynamicUserGroupName |
principal.group.group_display_name |
空でないか「-」でない場合、直接マッピングされます。 |
PanOSSourceLocation |
principal.location.country_or_region |
直接マッピング。 |
PanOSThreatCategory |
security_result.category_details |
security_result.category_details フィールドに統合されます。 |
PanOSThreatID |
security_result.threat_id |
直接マッピング。 |
principal.asset.attribute.labels |
principal.asset.attribute.labels |
キー「Source」と source フィールドの値でラベルを作成します。 |
proto |
network.ip_protocol |
大文字に変換されました。metadata.event_type を NETWORK_CONNECTION に設定します。 |
request |
network.http.referral_url |
直接マッピング。 |
rt |
metadata.event_timestamp |
タイムスタンプに変換されます。 |
security_result.severity |
security_result.severity |
severity の大文字の値に設定します。 |
severity |
security_result.severity |
大文字に変換されました。 |
shost |
principal.hostname |
直接マッピング。metadata.event_type を STATUS_UPDATE に設定します。 |
shost |
principal.asset.hostname |
直接マッピング。metadata.event_type を STATUS_UPDATE に設定します。 |
source |
principal.asset.attribute.labels |
「Source」ラベルの値として使用されます。 |
source |
security_result.summary |
not_json フィルタと grok フィルタが一致した場合に使用されます。 |
sourceTranslatedAddress |
principal.ip |
principal.ip 配列に統合されます。 |
sourceTranslatedAddress |
principal.asset.ip |
principal.asset.ip 配列に統合されます。 |
sourceTranslatedPort |
principal.port |
空または -1 でない場合、整数に変換されます。 |
spt |
principal.port |
整数に変換されます。 |
sr_summary |
security_result.summary |
not_json フィルタと grok フィルタが一致した場合に使用されます。 |
src |
principal.ip |
principal.ip 配列に統合されます。 |
src |
principal.asset.ip |
principal.asset.ip 配列に統合されます。 |
suser |
principal.user.user_display_name |
直接マッピング。 |
tenantCDLid |
additional.fields |
additional.fields に Key-Value ペアを作成し、キーを「tenantCDLid」、値はログフィールドの文字列です。 |
tenantname |
additional.fields |
additional.fields に Key-Value ペアを作成し、キーを「tenantname」、値はログフィールドの文字列です。 |
users |
target.user.userid |
users 配列の最初の要素を使用します。 |
xdr_url |
metadata.url_back_to_product |
直接マッピング。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。