Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
URLソリューション内のログの表現 SIEM - Knowledge Base - Palo Alto Networks

URLソリューション内のログの表現 SIEM

34458
Created On 09/26/18 13:49 PM - Last Modified 03/26/21 17:10 PM


Symptom


URLパロアルトネットワークスデバイスのログは、脅威ログの一部としてエクスポートされます。 脅威ログの一部として、セキュリティ情報およびイベント管理 ( ) ソリューションに表示されます SIEM 。



Resolution


SIEM脅威ログからフィルタ処理を行い、必要に応じてレポートを作成できます。 See the example below, if using Splunk as a SIEM and if looking at the logs using the filter: url dst_hostname="www.google.nl":

Splunk を a として使用 SIEM し、フィルタを使用してログを見る場合: url dst_hostname="www.google.nl"

Shown below after the type of log is THREAT , there is another token which represents the subtype: url:

ログは脅威です サブタイプを表す別のトークンがあります: url

If exporting one of those events in full it will show the following:

Aug 5 14:56:46 Ilija- PA-VM- 2.al.com 1,2014/08/05 14:56:46,007200001619, THREAT ,url,1,2014/08/05 14:56:40,192.168.8.89,173.194.41.175,10.193.17.8,173.194.41.175,allow_all,,,ssl,vsys1,Trust-L3,Untrust-L3,ethernet1/2,ethernet1/1,forward to panorama and splunk,2014/08/05 14:56:46,196863,1,55143,443,52716,443,0x408000,tcp,alert,"www.google.nl/",(9999),search-engines,informational,client-to-server,67483,0x0,192.168.0.0-192.168.255.255, US ,0,,0,,

This event is a Threat event, but the subtype is a URL . 上記のイベントでは、パラメータ "url" を参照 THREAT してください。 SIEMこのサブタイプに基づいてソリューションでフィルター処理すると、ログが URL 表示されます。 アクション、ルール、カテゴリ、その他の関連情報も表示されます。

特定のソリューションに別の表現が必要な場合 SIEM は、定義済みのトークン「$subtype|$type」を使用できます:

例として、カスタムログ形式 (デバイス>サーバプロファイル>Syslog)でこの出力を使用する可能性があります):

<threat> CEF :0|パロアルトネットワークス PAN-OS ||5.0|$subtype $threatid|$type|$numberの重大度|=$cef形式receive_time receive_timeデバイス外部Id=$serial src=$src dst=$dst ソースTranslatedAddress $natsrc=$natdst cs1Label=ルール cs1=$rule suser=$srcuser duser=$dstuser アプリ=$app cs3Label=仮想システム cs3=$vsys cs4Label=ソースゾーン cs4=$from cs $inbound $to 5=$from バインドインターフェイス=$outbound_$outbound_$cef_cs6ラベル=ログプロファイル cs6=$logset cn1Label=セッションID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport ソースTranslatedPort=$natsport変換ポート=$natdport flexString1Label=フラグフレックス文字列1=$flagsプロト=$proto行為=$action$action msg=$misc cs2ラベル= URL カテゴリcs2=$contenttype $seqno $direction $category</threat>


脅威ログの形式

その後、 URL ログには、管理者がレポートを作成するための統一された形式で使用できるカスタム フィールドを持つことができます SIEM 。

上記のカスタムログのフォーマットの使用に伴い、次のログが SIEM 取得されます。

10月10日 14:24:00 CEF :0|パロアルトネットワークス PAN-OS ||5.0|url (9999)|| THREAT1|rt=10月 2014 12:24:00 GMT デバイス外部Id=007200001618 src=172.16.100.89 dst=74.125.229 ソースTranslatedAddress=10.10.10.10.10.1 193.91.100 宛先TranslatedAddress=74.125.230.229 cs1Label=ルール cs1=allow_corp_services suser=al\iladmin duser= アプリ=ssl cs3Label=仮想システム cs3=vsys1 cs4Label=ソースゾーン cs4=Trust_L3 cs 5 ラベル=デスティネーション ゾーン cs5=Untrust_L3デバイスインバウンドインターフェイス=イーサネット1/2 デバイスアウトバウンドインターフェイス=イーサネット1/1 cs6ラベル=ログプロファイル cs6=Forward_to_PANORAMA_and_Splunk cn1Label=セッションID cn1=211699 cnt=1 spt=20949 dpt=443 ソースTranslatedPort=5 4006 宛先TranslatedPort=443 flexString1Label=フラグ flexString1=0x408000 プロト=tcp act=アラート msg="clients1.google.com/" URL cs2Label= カテゴリ cs2=検索エンジン flexString2Label=方向 flexString2=クライアントからサーバーへの外部Id=982843 要求コンテキスト=



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqKCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language