Representación de los URL registros en una SIEM solución
Symptom
Los URL registros en los dispositivos de Palo Alto Networks se exportan como parte de los registros de amenazas. Como parte de los registros de amenazas se muestran en las soluciones de información de seguridad y administración de eventos ( SIEM ).
Resolution
Desde SIEM los registros de amenazas se pueden filtrar e informar si es necesario. See the example below, if using Splunk as a SIEM and if looking at the logs using the filter: url dst_hostname="www.google.nl":
Shown below after the type of log is THREAT , there is another token which represents the subtype: url:
If exporting one of those events in full it will show the following:
Aug 5 14:56:46 Ilija- PA-VM- 2.al.com 1,2014/08/05 14:56:46,007200001619, THREAT ,url,1,2014/08/05 14:56:40,192.168.8.89,173.194.41.175,10.193.17.8,173.194.41.175,allow_all,,,ssl,vsys1,Trust-L3,Untrust-L3,ethernet1/2,ethernet1/1,forward to panorama and splunk,2014/08/05 14:56:46,196863,1,55143,443,52716,443,0x408000,tcp,alert,"www.google.nl/",(9999),search-engines,informational,client-to-server,67483,0x0,192.168.0.0-192.168.255.255, US ,0,,0,,
This event is a Threat event, but the subtype is a URL . En el evento anterior, consulte el parámetro "url" justo después del THREAT archivo . El filtrado en la SIEM solución en función de este subtipo dará lugar a que se muestren los URL registros. También se mostrará la acción, la regla, la categoría y otra información asociada.
Si se necesita una representación diferente para una SIEM solución específica, se pueden usar los tokens predefinidos "$subtype|$type":
Como ejemplo, podríamos usar esta salida en el formato de registro personalizado ( en Perfiles de servidor de> dispositivo > Syslog):
<threat> CEF :0| Palo Alto Networks| PAN-OS | 5.0|$subtype $threatid|$type|$number de gravedad|rt=dispositivo receive_time con formato $cef ExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1 =$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Sistema virtual cs3=$vsys cs4Label=Zona de origen cs4=$from cs5Label=Zona de destino cs5=$to dispositivoInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport $sport flexString1Label=Flags flexString1=$flags proto=$proto act=$action msg=$misc cs2Label= URL Category cs2=$category flexString2Label=Direction flexString2=$direction externalId=$seqno requestContext=$contenttype</threat>
Después de eso, los registros también pueden tener los campos personalizados que pueden estar en un formato uniforme para que URL el administrador cree SIEM informes.
Con el uso del formato de registro personalizado anterior obtenemos el siguiente registro SIEM en:
10 de octubre 14:24:00 CEF :0| Palo Alto Networks| PAN-OS | 5.0|url (9999)| THREAT | 1|rt=Oct 10 2014 12:24:00 GMT deviceExternalId=007200001618 src=172.16.100.89 dst=74.125.230.229 fuenteTranslatedAddress=10.193.91.100 destinoTranslatedAddress=74.125.230.229 cs1Label=Regla cs1=allow_corp_services suser=al\iladmin duser= app=ssl cs3Label=Sistema virtual cs3=vsys1 cs4Label=Zona de origen cs4==Trust_L3 cs5Label=Zona de destino cs5=Untrust_L3 dispositivoInboundInterface=dispositivo Ethernet1/2OutboundInterface=ethernet1/1 cs6Label=LogProfile cs6=Forward_to_PANORAMA_and_Splunk cn1Label=SessionID cn1=211699 cnt=1 spt=20949 dpt=443 sourceTranslatedPort=54006 destinationTranslatedPort=443 flexString1Label=Flags flexString1=0x408000 proto=tcp act=alert msg="clients1.google.com/" cs2Label= URL Category cs2=search-engines flexString2Label=Direction flexString2=client-to-server externalId=982843 requestContext=