URL解决方案中日志的表示 SIEM
30572
Created On 09/26/18 13:49 PM - Last Modified 03/26/21 17:11 PM
Symptom
URL帕洛阿尔托网络设备中的日志作为威胁日志的一部分导出。 作为威胁日志的一部分,它们显示在安全信息和事件管理 SIEM () 解决方案中。
Resolution
从 SIEM 威胁日志可以过滤和报告,如果需要的话。 See the example below, if using Splunk as a SIEM and if looking at the logs using the filter: url dst_hostname="www.google.nl":
Shown below after the type of log is THREAT , there is another token which represents the subtype: url:
If exporting one of those events in full it will show the following:
Aug 5 14:56:46 Ilija- PA-VM- 2.al.com 1,2014/08/05 14:56:46,007200001619, THREAT ,url,1,2014/08/05 14:56:40,192.168.8.89,173.194.41.175,10.193.17.8,173.194.41.175,allow_all,,,ssl,vsys1,Trust-L3,Untrust-L3,ethernet1/2,ethernet1/1,forward to panorama and splunk,2014/08/05 14:56:46,196863,1,55143,443,52716,443,0x408000,tcp,alert,"www.google.nl/",(9999),search-engines,informational,client-to-server,67483,0x0,192.168.0.0-192.168.255.255, US ,0,,0,,
This event is a Threat event, but the subtype is a URL . 在上面的事件,看到参数"url"刚过 THREAT 。 SIEM基于此子类型筛选解决方案将导致 URL 显示日志。 还将显示操作、规则、类别和其他相关信息。
如果特定解决方案需要不同的表示 SIEM ,则可以使用预先定义的代币"$subtype|$type":
例如,我们可以在自定义日志格式(设备下>服务器配置文件> Syslog中使用此输出
<threat> CEF )::0|帕洛阿尔托网络 PAN-OS ||5.0|$subtype $threatid|$type|$number严重性|rt=$cef格式receive_time设备外部Id=$serial src=$src dst=$dst源翻译地址=$natsrc目的地翻译地址=$natdst cs1标签=规则cs1=$src $rule苏瑟[$srcuser昏暗]$dstuser应用程序=$app cs3标签=虚拟系统cs3=$vsys cs4标签=源区cs4=$from cs5标签=目的地区cs5=$to设备入站内面=$inbound_如果设备 出界面=$outbound_如果cs6标签=日志计划cs6=$logset cn1标签ID cn1=$sessionid cnt=$repeatcnt pt=$sport dpt=$dport源传输端口=$natsport目的地传输端口=$natdport弯曲 1 标签=标志弯曲条纹1]$flags原物=$proto行为=$action msg=$misc cs2 标签 URL =类别cs2=$category弯曲2标签=方向弯曲2=$direction外部id=$seqno请求康德$contenttype</threat>
之后, URL 日志还可以具有可以统一格式为 SIEM 管理员创建报告的自定义字段。
使用上述自定义日志格式后,我们会在以下日志中获取以下日志 SIEM :
10月10日 14:24:00 CEF :0|帕洛阿尔托网络 PAN-OS ||5.0|(9999)|| THREAT1|rt= 2014年10月10日 12:24:00 GMT 设备外部Id=007200001618 src=172.16.100.89 dst=74.125.230.229 源传输地址=10.1 93.91.100 目的地翻译地址=74.125.230.229 cs1 标签=规则 cs1= allow_corp_services 苏瑟[al[iladmin duser] 应用程序= ssl cs3 标签 = 虚拟系统 cs3=vsys1 cs4 标签=源区 cs4=Trust_L3 c s5 标签=目的地区域 cs5=Untrust_L3设备入站内面=以太网1/2设备出界面=以太网1/1 cs6标签=日志程序cs6=Forward_to_PANORAMA_and_Splunk cn1 标签=会话ID cn1=211699 cnt=1 spt=20949 dpt=443 源传输 端口=54006 目的地传输端=443 弯曲条纹1 标签=标志弯曲条纹1]0x408000原版=tcp行为=警报msg="clients1.google.com/"cs2标签 URL =类别cs2=搜索引擎弯曲条纹2+方向弯曲2=客户端到服务器外部Id=982843请求