このページは Cloud Translation API によって翻訳されました。

Palo Alto Networks Traps のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Palo Alto Networks Traps ログを Google Security Operations に収集する方法について説明します。パーサーは CSV 形式と Key-Value 形式のログを処理し、UDM に変換します。grok と CSV 解析を使用してフィールドを抽出し、特定のログメッセージまたはフィールド値に基づいて条件ロジックを実行して UDM フィールドにマッピングします。また、ステータスの更新、ネットワークスキャン、プロセスの作成など、さまざまなイベントタイプを処理します。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。
Cortex XDR への特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: PAN_EDR
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Palo Alto Networks Traps を構成する

Cortex XDR ESM コンソールにログインします。
[Settings] > [ESM] > [Syslog] を選択します。
[Syslog を有効にする] チェックボックスをオンにします。
次の構成の詳細を指定します。
- Syslog サーバー: Bindplane エージェントの IP アドレスを入力します。
- Syslog ポート: Bindplane で構成したポート番号（514 など）を入力します。
- Syslog protocol: [CEF] を選択します。
- [Keep-alive timeout] を 0 に設定します。
- 通信プロトコル: [UDP] を選択します。
[セキュリティイベント] セクションで、次のチェックボックスをオンにします。
- 防止イベント
- 通知イベント
- 検出イベント後
[接続を確認> 保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`agentId`	`event.idm.read_only_udm.additional.fields.value.string_value`	未加工ログの `agentId` の値は、`additional.fields` のネストされた構造内の `string_value` フィールドにマッピングされます。このフィールドの `key` は `Agent ID` に設定されています。
`agentIp`	`event.idm.read_only_udm.target.ip`	未加工ログの `agentIp` の値は、`target.ip` フィールドにマッピングされます。
`cat`	`event.idm.read_only_udm.security_result.rule_name`	未加工ログの `cat` の値は、`security_result.rule_name` フィールドにマッピングされます。
`class`	`event.idm.read_only_udm.security_result.category_details`	`subClass` と組み合わせて使用し、`security_result.category_details` に `class: subClass` 形式で値を設定します。
`cs1`	`event.idm.read_only_udm.principal.application`、`event.idm.read_only_udm.principal.user.email_addresses`	`cs1Label` が `email` で、`cs1` が有効なメールアドレスの場合、`principal.user.email_addresses` にマッピングされます。`cs1Label` が `Initiated by` の場合、`principal.application` にマッピングされます。
`cs2`	`event.idm.read_only_udm.principal.process.command_line`、`event.idm.read_only_udm.security_result.description`	`cs2Label` が `subtype` の場合、`security_result.description` にマッピングされます。`cs2Label` が `Initiator CMD` の場合、`principal.process.command_line` にマッピングされます。
`cs3`	`event.idm.read_only_udm.security_result.action_details`	`cs3Label` が `result` の場合、`security_result.action_details` にマッピングされます。
`customerId`	`event.idm.read_only_udm.additional.fields.value.string_value`	未加工ログの `customerId` の値は、`additional.fields` のネストされた構造内の `string_value` フィールドにマッピングされます。このフィールドの `key` は `Customer ID` に設定されています。
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp.seconds`	解析されてタイムスタンプに変換され、`metadata.event_timestamp.seconds` にマッピングされます。
`desc`	`event.idm.read_only_udm.metadata.description`	未加工ログの `desc` の値は、`metadata.description` フィールドにマッピングされます。
`deviceName`	`event.idm.read_only_udm.target.hostname`	未加工ログの `deviceName` の値は、`target.hostname` フィールドにマッピングされます。
`email_receiver`	`event.idm.read_only_udm.network.email.to`	メールアドレスが含まれている場合は `msg` フィールドから抽出され、`network.email.to` にマッピングされます。
`endpoint_desc`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	`isEndpoint` から取得されます。`isEndpoint` が 1 の場合は `Yes, host is an endpoint.`、`isEndpoint` が 0 の場合は `No, host is not an endpoint`。`key` は `Is Endpoint` に設定します。
`eventType`	`event.idm.read_only_udm.metadata.product_event_type`、`event.idm.read_only_udm.metadata.event_type`	未加工ログの `eventType` の値は、`metadata.product_event_type` フィールドにマッピングされます。また、その値に基づいて `metadata.event_type` を導出するためにも使用されます（例: `Management Audit Logs` は `EMAIL_TRANSACTION` になり、`XDR Analytics BIOC` または `Behavioral Threat` は `SCAN_NETWORK` になります）。
`facility`	`event.idm.read_only_udm.additional.fields.value.string_value`	未加工ログの `facility` の値は、`additional.fields` のネストされた構造内の `string_value` フィールドにマッピングされます。このフィールドの `key` は `Facility` に設定されています。
`fileHash`	`event.idm.read_only_udm.principal.process.file.sha256`	未加工ログの `fileHash` の値は小文字に変換され、`principal.process.file.sha256` フィールドにマッピングされます。
`filePath`	`event.idm.read_only_udm.principal.process.file.full_path`	未加工ログの `filePath` の値は、`principal.process.file.full_path` フィールドにマッピングされます。
`friendlyName`	`event.idm.read_only_udm.metadata.description`	未加工ログの `friendlyName` の値は、`metadata.description` フィールドにマッピングされます。
`interm_ip`	`event.idm.read_only_udm.intermediary.ip`	未加工ログの `interm_ip` の値は、`intermediary.ip` フィールドにマッピングされます。
`isEndpoint`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	`target.resource.attribute.labels.value` の派生に使用されます。
`isVdi`	`event.idm.read_only_udm.target.resource.resource_type`	`isVdi` が 1 の場合、`target.resource.resource_type` は `VIRTUAL_MACHINE` に設定されます。
`msg`	`event.idm.read_only_udm.security_result.summary`	未加工ログの `msg` の値は、`security_result.summary` フィールドにマッピングされます。`email_receiver` の抽出にも使用されます。
`msgTextEn`	`event.idm.read_only_udm.security_result.description`	未加工ログの `msgTextEn` の値は、`security_result.description` フィールドにマッピングされます。
`osType`	`event.idm.read_only_udm.target.platform`、`event.idm.read_only_udm.target.resource.attribute.labels.value`	`osType` が 1 の場合、`target.platform` は `WINDOWS` に設定されます。`osType` が 2 の場合、`target.platform` は `MAC` に設定されます。`osType` が 4 の場合、`target.platform` は `LINUX` に設定されます。`osType` が 3 の場合、その値は `key` `OS` を使用して `target.resource.attribute.labels.value` にマッピングされます。
`osVersion`	`event.idm.read_only_udm.target.platform_version`	未加工ログの `osVersion` の値は、`target.platform_version` フィールドにマッピングされます。
`product_version`	`event.idm.read_only_udm.metadata.product_version`	未加工ログの `product_version` の値は、`metadata.product_version` フィールドにマッピングされます。
`proto`	`event.idm.read_only_udm.network.ip_protocol`	`proto` が `udp` の場合、`network.ip_protocol` は `UDP` に設定されます。
`recordType`	`event.idm.read_only_udm.additional.fields.value.string_value`	未加工ログの `recordType` の値は、`additional.fields` のネストされた構造内の `string_value` フィールドにマッピングされます。このフィールドの `key` は `Record Type` に設定されています。
`regionId`	`event.idm.read_only_udm.principal.location.country_or_region`	`regionId` が 10 の場合、`principal.location.country_or_region` は `Americas (N. Virginia)` に設定されます。`regionId` が 70 の場合、`principal.location.country_or_region` は `EMEA (Frankfurt)` に設定されます。
`request`	`event.idm.read_only_udm.target.url`	未加工ログの `request` の値は、`target.url` フィールドにマッピングされます。
`sec_category_details`	`event.idm.read_only_udm.security_result.category_details`	未加工ログの `sec_category_details` の値は、`security_result.category_details` フィールドにマッピングされます。
`sec_desc`	`event.idm.read_only_udm.security_result.description`	未加工ログの `sec_desc` の値は、`security_result.description` フィールドにマッピングされます。
`serverHost`	`event.idm.read_only_udm.principal.hostname`	未加工ログの `serverHost` の値は、`principal.hostname` フィールドにマッピングされます。
`severity`	`event.idm.read_only_udm.security_result.severity`	次のロジックで `security_result.severity` にマッピングされます。2 -> CRITICAL、3 -> ERROR、4 -> MEDIUM、5 -> LOW、6 -> INFORMATIONAL。
`severity_val`	`event.idm.read_only_udm.security_result.severity`、`event.idm.read_only_udm.security_result.severity_details`	`severity_val` が 0 の場合、`security_result.severity_details` は `UNKNOWN_SEVERITY` に設定されます。それ以外の場合は、次のロジックで `security_result.severity` にマッピングされます。6 -> 低、8 -> 中、9 -> 高。
`shost`	`event.idm.read_only_udm.principal.hostname`	未加工ログの `shost` の値は、`principal.hostname` フィールドにマッピングされます。
`src_ip`	`event.idm.read_only_udm.principal.ip`	未加工ログの `src_ip` の値は、`principal.ip` フィールドにマッピングされます。
`subClass`	`event.idm.read_only_udm.security_result.category_details`	`class` と組み合わせて使用し、`security_result.category_details` に値を設定します。
`suser`	`event.idm.read_only_udm.principal.user.user_display_name`	未加工ログの `suser` の値から、角かっこ、バックスラッシュ、一重引用符が削除され、`principal.user.user_display_name` フィールドにマッピングされます。
`targetprocesscmd`	`event.idm.read_only_udm.target.process.command_line`	未加工ログの `targetprocesscmd` の値は、`target.process.command_line` フィールドにマッピングされます。
`targetprocessname`	`event.idm.read_only_udm.target.application`	未加工ログの `targetprocessname` の値は、`target.application` フィールドにマッピングされます。
`targetprocesssha256`	`event.idm.read_only_udm.target.process.file.sha256`	未加工ログの `targetprocesssha256` の値は小文字に変換され、`target.process.file.sha256` フィールドにマッピングされます。
`tenantname`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	未加工ログの `tenantname` の値は、`target.resource.attribute.labels` のネストされた構造内の `value` フィールドにマッピングされます。このフィールドの `key` は `Tenant name` に設定されています。
	`event.idm.read_only_udm.metadata.event_type`	デフォルトでは `STATUS_UPDATE` に設定されています。`eventType` が `Management Audit Logs` の場合、`EMAIL_TRANSACTION` に変更しました。`eventType` が `XDR Analytics BIOC` または `Behavioral Threat` の場合、または `desc` が `Behavioral Threat` の場合は、`SCAN_NETWORK` に変更されます。`desc` が `Suspicious Process Creation` の場合、`SCAN_PROCESS` に変更しました。`Palo Alto Networks` に設定します。`Cortex XDR` に設定します。`PAN_EDR` に設定します。`eventType` が `XDR Analytics BIOC` または `Behavioral Threat` の場合、または `desc` が `Behavioral Threat` の場合、`NETWORK_SUSPICIOUS` に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。