URLソリューション内のログの表現 SIEM
Symptom
URLパロアルトネットワークスデバイスのログは、脅威ログの一部としてエクスポートされます。 脅威ログの一部として、セキュリティ情報およびイベント管理 ( ) ソリューションに表示されます SIEM 。
Resolution
SIEM脅威ログからフィルタ処理を行い、必要に応じてレポートを作成できます。 See the example below, if using Splunk as a SIEM and if looking at the logs using the filter: url dst_hostname="www.google.nl":
Shown below after the type of log is THREAT , there is another token which represents the subtype: url:
If exporting one of those events in full it will show the following:
Aug 5 14:56:46 Ilija- PA-VM- 2.al.com 1,2014/08/05 14:56:46,007200001619, THREAT ,url,1,2014/08/05 14:56:40,192.168.8.89,173.194.41.175,10.193.17.8,173.194.41.175,allow_all,,,ssl,vsys1,Trust-L3,Untrust-L3,ethernet1/2,ethernet1/1,forward to panorama and splunk,2014/08/05 14:56:46,196863,1,55143,443,52716,443,0x408000,tcp,alert,"www.google.nl/",(9999),search-engines,informational,client-to-server,67483,0x0,192.168.0.0-192.168.255.255, US ,0,,0,,
This event is a Threat event, but the subtype is a URL . 上記のイベントでは、パラメータ "url" を参照 THREAT してください。 SIEMこのサブタイプに基づいてソリューションでフィルター処理すると、ログが URL 表示されます。 アクション、ルール、カテゴリ、その他の関連情報も表示されます。
特定のソリューションに別の表現が必要な場合 SIEM は、定義済みのトークン「$subtype|$type」を使用できます:
例として、カスタムログ形式 (デバイス>サーバプロファイル>Syslog)でこの出力を使用する可能性があります):
<threat> CEF :0|パロアルトネットワークス PAN-OS ||5.0|$subtype $threatid|$type|$numberの重大度|=$cef形式receive_time receive_timeデバイス外部Id=$serial src=$src dst=$dst ソースTranslatedAddress $natsrc=$natdst cs1Label=ルール cs1=$rule suser=$srcuser duser=$dstuser アプリ=$app cs3Label=仮想システム cs3=$vsys cs4Label=ソースゾーン cs4=$from cs $inbound $to 5=$from バインドインターフェイス=$outbound_$outbound_$cef_cs6ラベル=ログプロファイル cs6=$logset cn1Label=セッションID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport ソースTranslatedPort=$natsport変換ポート=$natdport flexString1Label=フラグフレックス文字列1=$flagsプロト=$proto行為=$action$action msg=$misc cs2ラベル= URL カテゴリcs2=$contenttype $seqno $direction $category</threat>
その後、 URL ログには、管理者がレポートを作成するための統一された形式で使用できるカスタム フィールドを持つことができます SIEM 。
上記のカスタムログのフォーマットの使用に伴い、次のログが SIEM 取得されます。
10月10日 14:24:00 CEF :0|パロアルトネットワークス PAN-OS ||5.0|url (9999)|| THREAT1|rt=10月 2014 12:24:00 GMT デバイス外部Id=007200001618 src=172.16.100.89 dst=74.125.229 ソースTranslatedAddress=10.10.10.10.10.1 193.91.100 宛先TranslatedAddress=74.125.230.229 cs1Label=ルール cs1=allow_corp_services suser=al\iladmin duser= アプリ=ssl cs3Label=仮想システム cs3=vsys1 cs4Label=ソースゾーン cs4=Trust_L3 cs 5 ラベル=デスティネーション ゾーン cs5=Untrust_L3デバイスインバウンドインターフェイス=イーサネット1/2 デバイスアウトバウンドインターフェイス=イーサネット1/1 cs6ラベル=ログプロファイル cs6=Forward_to_PANORAMA_and_Splunk cn1Label=セッションID cn1=211699 cnt=1 spt=20949 dpt=443 ソースTranslatedPort=5 4006 宛先TranslatedPort=443 flexString1Label=フラグ flexString1=0x408000 プロト=tcp act=アラート msg="clients1.google.com/" URL cs2Label= カテゴリ cs2=検索エンジン flexString2Label=方向 flexString2=クライアントからサーバーへの外部Id=982843 要求コンテキスト=