Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Palo Alto Networks Traps

Supportato in:

Google secops SIEM

Questo documento spiega come raccogliere i log di Palo Alto Networks Traps in Google Security Operations utilizzando Bindplane. Il parser gestisce i log in formato CSV e chiave-valore, trasformandoli in UDM. Utilizza l'analisi grok e CSV per estrarre i campi, esegue la logica condizionale in base a messaggi di log o valori di campo specifici per mappare i campi UDM e gestisce vari tipi di eventi come aggiornamenti di stato, scansioni di rete e creazioni di processi.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso con privilegi a Cortex XDR.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: PAN_EDR
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Palo Alto Networks Traps

Accedi alla console Cortex XDR ESM.
Seleziona Impostazioni > ESM > Syslog.
Seleziona la casella di controllo Abilita syslog.
Fornisci i seguenti dettagli di configurazione:
- Server Syslog: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta Syslog: inserisci il numero di porta configurato in Bindplane, ad esempio 514.
- Protocollo Syslog: seleziona CEF.
- Imposta Timeout keep-alive su 0.
- Protocollo di comunicazione: seleziona UDP.
Nella sezione Eventi relativi alla sicurezza, seleziona le seguenti caselle di controllo:
- Evento di prevenzione
- Evento di notifica
- Evento di post-rilevamento
Fai clic su Verifica connettività > Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`agentId`	`event.idm.read_only_udm.additional.fields.value.string_value`	Il valore di `agentId` del log non elaborato viene mappato al campo `string_value` all'interno di una struttura nidificata in `additional.fields`. Il `key` per questo campo è impostato su `Agent ID`.
`agentIp`	`event.idm.read_only_udm.target.ip`	Il valore di `agentIp` del log non elaborato viene mappato al campo `target.ip`.
`cat`	`event.idm.read_only_udm.security_result.rule_name`	Il valore di `cat` del log non elaborato viene mappato al campo `security_result.rule_name`.
`class`	`event.idm.read_only_udm.security_result.category_details`	Utilizzato in combinazione con `subClass` per compilare `security_result.category_details` con il formato `class: subClass`.
`cs1`	`event.idm.read_only_udm.principal.application`, `event.idm.read_only_udm.principal.user.email_addresses`	Se `cs1Label` è `email` e `cs1` è un indirizzo email valido, viene mappato a `principal.user.email_addresses`. Se `cs1Label` è `Initiated by`, viene mappato a `principal.application`.
`cs2`	`event.idm.read_only_udm.principal.process.command_line`, `event.idm.read_only_udm.security_result.description`	Se `cs2Label` è `subtype`, viene mappato a `security_result.description`. Se `cs2Label` è `Initiator CMD`, viene mappato a `principal.process.command_line`.
`cs3`	`event.idm.read_only_udm.security_result.action_details`	Se `cs3Label` è `result`, viene mappato a `security_result.action_details`.
`customerId`	`event.idm.read_only_udm.additional.fields.value.string_value`	Il valore di `customerId` del log non elaborato viene mappato al campo `string_value` all'interno di una struttura nidificata in `additional.fields`. Il `key` per questo campo è impostato su `Customer ID`.
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp.seconds`	Analizzato e convertito in un timestamp, quindi mappato a `metadata.event_timestamp.seconds`.
`desc`	`event.idm.read_only_udm.metadata.description`	Il valore di `desc` del log non elaborato viene mappato al campo `metadata.description`.
`deviceName`	`event.idm.read_only_udm.target.hostname`	Il valore di `deviceName` del log non elaborato viene mappato al campo `target.hostname`.
`email_receiver`	`event.idm.read_only_udm.network.email.to`	Estratto dal campo `msg` se contiene un indirizzo email e mappato a `network.email.to`.
`endpoint_desc`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	Derivato da `isEndpoint`: `Yes, host is an endpoint.` se `isEndpoint` è 1, `No, host is not an endpoint` se `isEndpoint` è 0. `key` è impostato su `Is Endpoint`.
`eventType`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.metadata.event_type`	Il valore di `eventType` del log non elaborato viene mappato al campo `metadata.product_event_type`. Utilizzato anche per derivare `metadata.event_type` in base al suo valore (ad es. `Management Audit Logs` restituisce `EMAIL_TRANSACTION`, `XDR Analytics BIOC` o `Behavioral Threat` restituisce `SCAN_NETWORK`).
`facility`	`event.idm.read_only_udm.additional.fields.value.string_value`	Il valore di `facility` del log non elaborato viene mappato al campo `string_value` all'interno di una struttura nidificata in `additional.fields`. Il `key` per questo campo è impostato su `Facility`.
`fileHash`	`event.idm.read_only_udm.principal.process.file.sha256`	Il valore di `fileHash` del log grezzo, convertito in minuscolo, viene mappato al campo `principal.process.file.sha256`.
`filePath`	`event.idm.read_only_udm.principal.process.file.full_path`	Il valore di `filePath` del log non elaborato viene mappato al campo `principal.process.file.full_path`.
`friendlyName`	`event.idm.read_only_udm.metadata.description`	Il valore di `friendlyName` del log non elaborato viene mappato al campo `metadata.description`.
`interm_ip`	`event.idm.read_only_udm.intermediary.ip`	Il valore di `interm_ip` del log non elaborato viene mappato al campo `intermediary.ip`.
`isEndpoint`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	Utilizzato per derivare `target.resource.attribute.labels.value`.
`isVdi`	`event.idm.read_only_udm.target.resource.resource_type`	Se `isVdi` è 1, `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`.
`msg`	`event.idm.read_only_udm.security_result.summary`	Il valore di `msg` del log non elaborato viene mappato al campo `security_result.summary`. Utilizzato anche per estrarre `email_receiver`.
`msgTextEn`	`event.idm.read_only_udm.security_result.description`	Il valore di `msgTextEn` del log non elaborato viene mappato al campo `security_result.description`.
`osType`	`event.idm.read_only_udm.target.platform`, `event.idm.read_only_udm.target.resource.attribute.labels.value`	Se `osType` è 1, `target.platform` è impostato su `WINDOWS`. Se `osType` è 2, `target.platform` è impostato su `MAC`. Se `osType` è 4, `target.platform` è impostato su `LINUX`. Se `osType` è 3, il suo valore viene mappato a `target.resource.attribute.labels.value` con `key` `OS`.
`osVersion`	`event.idm.read_only_udm.target.platform_version`	Il valore di `osVersion` del log non elaborato viene mappato al campo `target.platform_version`.
`product_version`	`event.idm.read_only_udm.metadata.product_version`	Il valore di `product_version` del log non elaborato viene mappato al campo `metadata.product_version`.
`proto`	`event.idm.read_only_udm.network.ip_protocol`	Se `proto` è `udp`, `network.ip_protocol` è impostato su `UDP`.
`recordType`	`event.idm.read_only_udm.additional.fields.value.string_value`	Il valore di `recordType` del log non elaborato viene mappato al campo `string_value` all'interno di una struttura nidificata in `additional.fields`. Il `key` per questo campo è impostato su `Record Type`.
`regionId`	`event.idm.read_only_udm.principal.location.country_or_region`	Se `regionId` è 10, `principal.location.country_or_region` è impostato su `Americas (N. Virginia)`. Se `regionId` è 70, `principal.location.country_or_region` è impostato su `EMEA (Frankfurt)`.
`request`	`event.idm.read_only_udm.target.url`	Il valore di `request` del log non elaborato viene mappato al campo `target.url`.
`sec_category_details`	`event.idm.read_only_udm.security_result.category_details`	Il valore di `sec_category_details` del log non elaborato viene mappato al campo `security_result.category_details`.
`sec_desc`	`event.idm.read_only_udm.security_result.description`	Il valore di `sec_desc` del log non elaborato viene mappato al campo `security_result.description`.
`serverHost`	`event.idm.read_only_udm.principal.hostname`	Il valore di `serverHost` del log non elaborato viene mappato al campo `principal.hostname`.
`severity`	`event.idm.read_only_udm.security_result.severity`	Mappato su `security_result.severity` con la seguente logica: 2 -> CRITICO, 3 -> ERRORE, 4 -> MEDIO, 5 -> BASSO, 6 -> INFORMATIVO.
`severity_val`	`event.idm.read_only_udm.security_result.severity`, `event.idm.read_only_udm.security_result.severity_details`	Se `severity_val` è 0, `security_result.severity_details` è impostato su `UNKNOWN_SEVERITY`. In caso contrario, viene mappato su `security_result.severity` con la seguente logica: 6 -> BASSA, 8 -> MEDIA, 9 -> ALTA.
`shost`	`event.idm.read_only_udm.principal.hostname`	Il valore di `shost` del log non elaborato viene mappato al campo `principal.hostname`.
`src_ip`	`event.idm.read_only_udm.principal.ip`	Il valore di `src_ip` del log non elaborato viene mappato al campo `principal.ip`.
`subClass`	`event.idm.read_only_udm.security_result.category_details`	Utilizzato in combinazione con `class` per compilare `security_result.category_details`.
`suser`	`event.idm.read_only_udm.principal.user.user_display_name`	Il valore di `suser` dal log non elaborato, con parentesi, barre rovesciate e virgolette singole rimosse, viene mappato al campo `principal.user.user_display_name`.
`targetprocesscmd`	`event.idm.read_only_udm.target.process.command_line`	Il valore di `targetprocesscmd` del log non elaborato viene mappato al campo `target.process.command_line`.
`targetprocessname`	`event.idm.read_only_udm.target.application`	Il valore di `targetprocessname` del log non elaborato viene mappato al campo `target.application`.
`targetprocesssha256`	`event.idm.read_only_udm.target.process.file.sha256`	Il valore di `targetprocesssha256` del log grezzo, convertito in minuscolo, viene mappato al campo `target.process.file.sha256`.
`tenantname`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	Il valore di `tenantname` del log non elaborato viene mappato al campo `value` all'interno di una struttura nidificata in `target.resource.attribute.labels`. Il `key` per questo campo è impostato su `Tenant name`.
	`event.idm.read_only_udm.metadata.event_type`	Impostato su `STATUS_UPDATE` per impostazione predefinita. Modificato in `EMAIL_TRANSACTION` se `eventType` è `Management Audit Logs`. Modificato in `SCAN_NETWORK` se `eventType` è `XDR Analytics BIOC` o `Behavioral Threat` oppure se `desc` è `Behavioral Threat`. Modificato in `SCAN_PROCESS` se `desc` è `Suspicious Process Creation`. Imposta su `Palo Alto Networks`. Imposta su `Cortex XDR`. Imposta su `PAN_EDR`. Imposta su `NETWORK_SUSPICIOUS` se `eventType` è `XDR Analytics BIOC` o `Behavioral Threat` oppure se `desc` è `Behavioral Threat`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.