このページは Cloud Translation API によって翻訳されました。

Palo Alto Prisma SD-WAN のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Palo Alto Prisma SD-WAN（旧称 Cloudgenix SD-WAN）ログを Google Security Operations に取り込む方法について説明します。パーサーは syslog とフローログからフィールドを抽出し、統合データモデル（UDM）にマッピングします。構造化された syslog メッセージと構造化されていない syslog メッセージの両方を処理し、Key-Value の解析と Grok の照合を実行して、送信元/送信先 IP、ホスト名、イベントタイプ、セキュリティの詳細などの関連情報を抽出し、それに応じて UDM フィールドに入力します。パーサーはフローログも処理し、ネットワーク情報を抽出して UDM のネットワーク、プリンシパル、ターゲット、仲介、セキュリティの結果スキーマにマッピングします。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認する
Palo Alto Prisma SD-WAN（旧 Cloudgenix SD-WAN）への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

```yaml
receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CLOUDGENIX_SDWAN'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
```

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Prisma SD-WAN Syslog プロファイルを構成する

Prisma SD-WAN にログインします。
[管理] > [リソース] > [構成プロファイル] に移動します。
[Syslog] を選択します。
[Syslog プロファイルを作成] をクリックします。
次の構成の詳細を入力します。
- 名前: このプロファイルの名前を入力します。
- [フローロギングを有効にする] チェックボックスをオンにします。
- 重大度: 重大度レベル（重大、中、軽微）から重大度レベルを選択します。
- プロトコル: Bindplane エージェントの構成に応じて、プロトコルタイプとして [UDP] または [TCP] を選択します。
- [サーバー IP] ラジオボタンを選択します。
- Bindplane エージェントの IP アドレスを入力します。
- サーバーポート: Bindplane エージェントのポート番号を入力します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`ACTION`	`security_result.action`	`ACTION_CODE` が「1」の場合は、「ALLOW」に設定します。それ以外の場合、`ACTION_CODE` が空でない場合は「BLOCK」に設定します。それ以外の場合は、パーサーの早い段階で「UNKNOWN_ACTION」にデフォルト設定されます。
`ACTION_CODE`	`security_result.action`	`security_result.action` を決定するロジックで使用されます。
`APP_NAME`	`network.http.user_agent`	直接マッピングされます。
`BYTES_RECVD`	`network.received_bytes`	直接マッピングされ、符号なし整数に変換されます。
`BYTES_SENT`	`network.sent_bytes`	直接マッピングされ、符号なし整数に変換されます。
`CLOUDGENIX_HOST`	`principal.hostname`	`NAME` フィールドが空の場合、直接マッピングされます。`NAME` が存在する場合、中間ホスト名として使用されます。
`CODE`	`metadata.product_event_type`	`FACILITY` と連結して `metadata.product_event_type` を形成します。また、`metadata.event_type` の決定にも使用されます（例: `CODE` に「DOWN」が含まれている場合、`metadata.event_type` は「STATUS_SHUTDOWN」に設定されます）。
`DESTINATION_ZONE_NAME`	`about.labels`	キー「DESTINATION_ZONE_NAME」のラベルとして直接マッピングされます。
`DEVICE_TIME`	`metadata.event_timestamp`	日付として解析された後、直接マッピングされます。
`DST_INTERFACE`	`target.hostname`	直接マッピングされます。
`DST_IP`	`target.ip`	直接マッピングされます。
`DST_PORT`	`target.port`	直接マッピングされ、整数に変換されます。
`ELEMENT_ID`	`about.labels`	キー「ELEMENT_ID」のラベルとして直接マッピングされます。
`EVENT_TIME`	`metadata.event_timestamp`	日付として解析された後、直接マッピングされます。
`FACILITY`	`metadata.product_event_type`	`CODE` と連結して `metadata.product_event_type` を形成します。
`FLOW_EVENT`	`security_result.summary`	`security_result.summary` 文字列の一部として使用されます。
`IDENTIFIER`	`about.labels`	キー「IDENTIFIER」のラベルとして直接マッピングされます。
`ION_HOST`	`principal.hostname`	`CLOUDGENIX_HOST` フィールドと `NAME` フィールドが空の場合、直接マッピングされます。
`MSG`	`metadata.description`	直接マッピングされます。また、正規表現マッチングを使用して `metadata.event_type` を特定し、`target.ip` を抽出するためにも使用されます。
`NAME`	`principal.hostname`	直接マッピングされます。このタグが存在する場合、`CLOUDGENIX_HOST` は `intermediary.hostname` になります。
`PROCESS_NAME`	`principal.process.file.full_path`	直接マッピングされます。
`PROTOCOL_NAME`	`network.ip_protocol`	直接マッピングされ、大文字に変換されます。
`REMOTE_HOSTNAME`	`target.hostname`	直接マッピングされます。
`REMOTE_IP`	`target.ip`	直接マッピングされます。
`RULE_NAME`	`security_result.rule_name`	直接マッピングされます。
`SEVERITY`	`security_result.severity`、`security_result.severity_details`	`security_result.severity_details` にマッピングされます。また、`security_result.severity` の決定にも使用されます（例: `SEVERITY` が「minor」の場合、`security_result.severity` は「LOW」に設定されます）。
`SOURCE_ZONE_NAME`	`about.labels`	キー「SOURCE_ZONE_NAME」のラベルとして直接マッピングされます。
`SRC_INTERFACE`	`principal.hostname`	直接マッピングされます。
`SRC_IP`	`principal.ip`	直接マッピングされます。
`SRC_PORT`	`principal.port`	直接マッピングされ、整数に変換されます。
`VPN_LINK_ID`	`target.resource.id`	直接マッピングされます。
（パーサーロジック）	`is_alert`	`log_type` が「alert」または「alarm」の場合は true に設定されます。
（パーサーロジック）	`is_significant`	`log_type` が「alert」または「alarm」の場合は true に設定されます。
（パーサーロジック）	`metadata.event_type`	`CODE`、`MSG`、`src_ip`、`dest_ip` の値に基づく一連の条件文によって決定されます。デフォルトは「GENERIC_EVENT」です。
（パーサーロジック）	`metadata.log_type`	「CLOUDGENIX_SDWAN」に設定されます。
（パーサーロジック）	`metadata.product_event_type`	デフォルトは `CODE` と `FACILITY` の連結です。フローログの場合は「cgxFlowLogV1」に設定します。
（パーサーロジック）	`metadata.product_name`	「CloudGenix SD-WAN」に設定します。
（パーサーロジック）	`metadata.vendor_name`	「Palo Alto Networks」に設定します。
（パーサーロジック）	`principal.process.pid`	フローログの場合、未加工ログの `pid` の値に設定します。
（パーサーロジック）	`security_result.action`	デフォルトは「UNKNOWN_ACTION」です。
（パーサーロジック）	`security_result.severity`	デフォルトは「UNKNOWN_SEVERITY」です。`SEVERITY` の値に基づいて設定します。フローログの場合は「INFORMATIONAL」に設定します。
（パーサーロジック）	`security_result.summary`	syslog メッセージについては `CODE` の値に基づいて設定されます。フローログの `FLOW_EVENT`、`SRC_IP`、`DST_IP` を含む説明文字列に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。