Palo Alto Cortex XDR 알림 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 피드를 설정하여 Palo Alto Cortex XDR 알림 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CORTEX_XDR 수집 라벨이 있는 파서에 적용됩니다.

Palo Alto Cortex XDR 알림 구성

Palo Alto Cortex XDR 알림을 구성하려면 다음 작업을 완료하세요.

Palo Alto Cortex XDR 알림 API 키 가져오기

  1. Cortex XDR 포털에 로그인합니다.
  2. 설정 메뉴에서 설정을 클릭합니다.
  3. +새 키를 선택합니다.
  4. 보안 수준 섹션에서 고급을 선택합니다.
  5. 역할 섹션에서 뷰어를 선택합니다.
  6. 생성을 클릭합니다.
  7. API 키를 복사하고 완료를 클릭합니다. API 키는 고유한 승인 키를 나타내며 생성 시에만 표시됩니다. Google Security Operations 피드를 구성할 때 필요합니다.

Palo Alto Cortex XDR 알림 API 키 ID 가져오기

구성 섹션에서 API 키> ID로 이동합니다. x-xdr-auth-id:{key_id} 토큰을 나타내는 해당 ID 번호를 기록해 둡니다.

FQDN 가져오기

  1. API 키로 이동합니다.
  2. URL 복사를 클릭합니다. Google Security Operations 피드를 구성할 때 필요한 URL을 저장합니다.

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

  • SIEM 설정 > 피드
  • 콘텐츠 허브 > 콘텐츠 팩

SIEM 설정 > 피드에서 피드 설정

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하려면 제품별 피드 구성을 참고하세요.

단일 피드를 구성하려면 다음 단계를 따르세요.

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다(예: Palo Alto Cortex XDR 알림 로그).
  5. 소스 유형으로 서드 파티 API를 선택합니다.
  6. 로그 유형으로 Palo Alto Cortex XDR 알림을 선택합니다.
  7. 다음을 클릭합니다.
  8. 다음 필수 입력 매개변수를 구성합니다.
    • 인증 HTTP 헤더: 이전에 가져온 승인 키와 승인 키 ID를 제공합니다.
    • API 호스트 이름: 이전에 가져온 URL을 제공합니다.
    • 엔드포인트: 엔드포인트를 지정합니다.
  9. 다음을 클릭한 후 제출을 클릭합니다.

Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참고하세요.

콘텐츠 허브에서 피드 설정하기

다음 필드의 값을 지정합니다.

  • 인증 HTTP 헤더: 이전에 가져온 승인 키와 승인 키 ID를 제공합니다.
  • API 호스트 이름: 이전에 가져온 URL을 제공합니다.
  • 엔드포인트: 엔드포인트를 지정합니다.

고급 옵션

  • 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
  • 소스 유형: Google SecOps로 로그를 수집하는 데 사용되는 방법입니다.
  • 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
  • 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.

필드 매핑 참조

이 파서는 JSON 또는 SYSLOG (키-값) 형식으로 Palo Alto Networks Cortex XDR에서 보안 로그를 추출하고, 필드를 정규화하고, UDM에 매핑합니다. JSON 및 키-값 형식을 모두 처리하고, 날짜 추출을 실행하고, 메타데이터로 데이터를 보강하고, Google SecOps에 수집할 수 있도록 출력을 구조화합니다.

Cortex XDR에서 REST API 요청을 사용 설정하고 Google SecOps 피드 구성

이 가이드에서는 Cortex XDR에서 REST API 요청을 사용 설정하고 Google SecOps에서 해당 피드를 구성하는 방법을 단계별로 설명합니다.

1부: Cortex XDR에서 REST API 요청 사용 설정

Cortex XDR은 인증에 API 키를 사용합니다. 다음 단계에 따라 API 키를 생성합니다.

  1. Cortex XDR 관리 콘솔에 로그인합니다.
  2. 설정으로 이동합니다.
  3. API 키에 액세스합니다.
  4. 새 키를 생성합니다.
  5. 키 이름 (예: 'SecOps 통합')을 입력합니다.
  6. 필요한 데이터에 액세스할 수 있는 필수 권한을 API 키에 할당합니다. 이는 보안에 매우 중요하며 키가 필요한 항목에만 액세스할 수 있도록 합니다. 사용 사례에 필요한 특정 권한은 Cortex XDR 문서를 참고하세요.
  7. API 키를 안전하게 저장합니다. Google SecOps 피드 구성에 필요합니다. 전체 키는 이번에만 표시되므로 지금 복사해 두세요.
  8. (선택사항) 보안 강화를 위해 API 키의 만료일을 구성합니다.

2부: Google SecOps에서 피드 구성

API 키를 생성한 후 Cortex XDR에서 데이터를 수신하도록 Google SecOps에서 피드를 구성합니다.

  1. SIEM 설정> 피드로 이동합니다.
  2. 새로 추가를 클릭합니다.
  3. 소스 유형으로 서드 파티 API를 선택합니다.
  4. Cortex XDR에서 수집할 데이터에 해당하는 필수 로그 유형을 선택합니다.
  5. 다음을 클릭합니다.
  6. 다음 입력 매개변수를 구성합니다.
    • API 엔드포인트: Cortex XDR API의 기본 URL을 입력합니다. Cortex XDR API 문서에서 확인할 수 있습니다.
    • API 키: 이전에 생성한 API 키를 붙여넣습니다.
    • 기타 매개변수: 사용하는 특정 Cortex XDR API에 따라 특정 데이터 필터 또는 기간과 같은 추가 매개변수를 제공해야 할 수 있습니다. 자세한 내용은 Cortex XDR API 문서를 참고하세요.
  7. 다음을 클릭한 후 제출을 클릭합니다.

중요 고려사항:

  • 비율 제한: Cortex XDR API에서 부과하는 비율 제한에 유의하세요. 이러한 한도를 초과하지 않도록 피드를 구성하세요.
  • 오류 처리: Cortex XDR API를 사용할 수 없거나 오류를 반환하는 상황을 관리하기 위해 Google SecOps 구성에서 적절한 오류 처리를 구현합니다.
  • 보안: API 키를 안전하게 저장하고 보안 권장사항을 따릅니다. 잠재적인 유출의 영향을 최소화하기 위해 API 키를 정기적으로 순환합니다.
  • 문서: 사용 가능한 엔드포인트, 매개변수, 데이터 형식에 관한 자세한 내용은 공식 Cortex XDR API 문서를 참고하세요.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
action security_result.action action에 'BLOCKED'가 포함된 경우 'BLOCK'으로 설정합니다.
action security_result.action_details act이 비어 있지 않거나 null이 아니거나 'none'이 아닌 경우 act 값을 사용합니다. 그렇지 않고 action이 'BLOCKED'가 아닌 경우 action 값을 사용합니다.
action_country security_result.about.location.country_or_region 직접 매핑 중첩된 events 필드에서도 사용됩니다.
action_file_path target.resource.attribute.labels 로그 필드의 키 'action_file_path'와 값으로 라벨을 만듭니다.
action_file_sha256 target.file.sha256 소문자로 변환합니다.
action_local_port principal.port 정수로 변환합니다.
action_remote_ip target.ip target.ip 배열로 병합되었습니다.
action_remote_ip target.asset.ip target.asset.ip 배열로 병합되었습니다.
action_remote_port target.port 정수로 변환합니다.
act security_result.action_details 비어 있지 않거나 null이 아니거나 'none'이 아닌 경우 사용됩니다.
agent_data_collection_status 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
agent_device_domain target.administrative_domain 직접 매핑
agent_fqdn 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
agent_install_type 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
agent_is_vdi 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
agent_os_sub_type target.platform_version 직접 매핑
agent_os_type target.platform 'Windows'인 경우 'WINDOWS'로 설정합니다.
agent_version 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
alert_id security_result.rule_id 직접 매핑
app target.application 직접 매핑
cat security_result.category_details security_result.category_details 필드로 병합되었습니다.
category security_result.category '멀웨어'인 경우 'SOFTWARE_MALICIOUS'로 설정합니다.
category security_result.category_details security_result.category_details 필드로 병합되었습니다.
cn1 network.session_id 직접 매핑
cn1Label 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
contains_featured_host 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
contains_featured_ip 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
contains_featured_user 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
creation_time metadata.event_timestamp 타임스탬프로 변환되었습니다.
cs1 security_result.rule_name cs1Label와 연결되어 security_result.rule_name을 형성합니다.
cs1Label security_result.rule_name cs1와 연결되어 security_result.rule_name을 형성합니다.
cs2 additional.fields cs2Label의 키와 cs2의 문자열 값으로 additional.fields에 키-값 쌍을 만듭니다.
cs2Label additional.fields additional.fields에서 cs2 값의 키로 사용됩니다.
cs3 additional.fields cs3Label의 키와 cs3의 문자열 값으로 additional.fields에 키-값 쌍을 만듭니다.
cs3Label additional.fields additional.fields에서 cs3 값의 키로 사용됩니다.
cs4 additional.fields cs4Label의 키와 cs4의 문자열 값으로 additional.fields에 키-값 쌍을 만듭니다.
cs4Label additional.fields additional.fields에서 cs4 값의 키로 사용됩니다.
cs5 additional.fields cs5Label의 키와 cs5의 문자열 값으로 additional.fields에 키-값 쌍을 만듭니다.
cs5Label additional.fields additional.fields에서 cs5 값의 키로 사용됩니다.
cs6 additional.fields cs6Label의 키와 cs6의 문자열 값으로 additional.fields에 키-값 쌍을 만듭니다.
cs6Label additional.fields additional.fields에서 cs6 값의 키로 사용됩니다.
CSPaccountname additional.fields 로그 필드에서 키 'CSPaccountname'과 문자열 값을 사용하여 additional.fields에 키-값 쌍을 만듭니다.
description metadata.description 직접 매핑 event_type이 GENERIC_EVENT가 아닌 경우 security_result.description에도 사용됩니다.
destinationTranslatedAddress target.ip target.ip 배열로 병합되었습니다.
destinationTranslatedAddress target.asset.ip target.asset.ip 배열로 병합되었습니다.
destinationTranslatedPort target.port 비어 있지 않거나 -1이 아닌 경우 정수로 변환됩니다.
deviceExternalId security_result.about.asset_id 'Device External Id: '가 앞에 붙습니다.
dpt target.port destinationTranslatedPort이 비어 있거나 -1인 경우 정수로 변환됩니다.
dst target.ip target.ip 배열로 병합되었습니다.
dst target.asset.ip target.asset.ip 배열로 병합되었습니다.
dst_agent_id target.ip 유효한 IP인 경우 IP 주소로 변환되어 target.ip 배열로 병합됩니다.
dst_agent_id target.asset.ip 유효한 IP인 경우 IP 주소로 변환되어 target.asset.ip 배열로 병합됩니다.
dvchost principal.hostname 직접 매핑
dvchost principal.asset.hostname 직접 매핑
endpoint_id target.process.product_specific_process_id 'cor:'이(가) 앞에 붙습니다.
event_id 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
event_sub_type 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
event_timestamp metadata.event_timestamp 타임스탬프로 변환되었습니다. 중첩된 events 필드에서도 사용됩니다.
event_type metadata.event_type 로직에 따라 UDM 이벤트 유형에 매핑됩니다. 중첩된 events 필드에서도 사용됩니다.
event_type metadata.product_event_type 직접 매핑
event_type security_result.threat_name 직접 매핑
events 중첩 이벤트 events 배열 내의 필드는 중첩된 events 객체 내의 해당 UDM 필드에 매핑됩니다. 자세한 내용은 개별 필드 매핑을 참고하세요.
external_id 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fileId target.resource.attribute.labels 'fileId' 키와 로그 필드의 값으로 라벨을 만듭니다.
fileHash target.file.sha256 소문자로 변환됩니다. metadata.event_type을 FILE_UNCATEGORIZED로 설정합니다.
filePath target.file.full_path 직접 매핑 metadata.event_type을 FILE_UNCATEGORIZED로 설정합니다.
fw_app_category 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_app_id 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_app_subcategory 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_app_technology 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_device_name 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_email_recipient 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_email_sender 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_email_subject 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_interface_from 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_interface_to 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_is_phishing 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_misc 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_rule 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_rule_id 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_serial_number 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_url_domain 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_vsys 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
fw_xff 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
host_ip principal.ip 쉼표로 분할되고 principal.ip 배열로 병합됩니다.
host_ip principal.asset.ip 쉼표로 분할되고 principal.asset.ip 배열로 병합됩니다.
host_name principal.hostname 직접 매핑
host_name principal.asset.hostname 직접 매핑
hosts target.hostname hosts 배열의 첫 번째 요소에서 호스트 이름을 추출합니다.
hosts target.asset.hostname hosts 배열의 첫 번째 요소에서 호스트 이름을 추출합니다.
hosts target.user.employee_id hosts 배열의 첫 번째 요소에서 사용자 ID를 추출합니다.
incident_id metadata.product_log_id 직접 매핑
is_whitelisted 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
local_insert_ts 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
mac principal.mac 쉼표로 분할되고 principal.mac 배열로 병합됩니다.
matching_status 매핑되지 않음 원시 로그에는 있지만 최종 UDM의 IDM 객체에 매핑되지 않습니다.
metadata.description security_result.description event_type이 GENERIC_EVENT인 경우 사용됩니다.
metadata.event_type metadata.event_type event_type, host_ip 및 기타 필드를 사용하여 논리에 따라 설정됩니다.
metadata.log_type metadata.log_type 'CORTEX_XDR'로 설정합니다.
metadata.product_name metadata.product_name 'Cortex'로 설정합니다.
metadata.vendor_name metadata.vendor_name 'Palo Alto Networks'로 설정됩니다.
msg security_result.description 직접 매핑
name security_result.summary 직접 매핑
PanOSDGHierarchyLevel1 security_result.detection_fields 로그 필드의 값과 키 'PanOSDGHierarchyLevel1'을 사용하여 security_result.detection_fields에 키-값 쌍을 만듭니다.
PanOSDestinationLocation target.location.country_or_region 직접 매핑
PanOSDynamicUserGroupName principal.group.group_display_name 비어 있지 않거나 '-'인 경우 직접 매핑
PanOSSourceLocation principal.location.country_or_region 직접 매핑
PanOSThreatCategory security_result.category_details security_result.category_details 필드로 병합되었습니다.
PanOSThreatID security_result.threat_id 직접 매핑
principal.asset.attribute.labels principal.asset.attribute.labels source 필드의 키가 'Source'이고 값이 있는 라벨을 만듭니다.
proto network.ip_protocol 대문자로 변환되었습니다. metadata.event_type를 NETWORK_CONNECTION으로 설정합니다.
request network.http.referral_url 직접 매핑
rt metadata.event_timestamp 타임스탬프로 변환되었습니다.
security_result.severity security_result.severity severity의 대문자 값으로 설정합니다.
severity security_result.severity 대문자로 변환되었습니다.
shost principal.hostname 직접 매핑 metadata.event_type를 STATUS_UPDATE로 설정합니다.
shost principal.asset.hostname 직접 매핑 metadata.event_type를 STATUS_UPDATE로 설정합니다.
source principal.asset.attribute.labels '소스' 라벨의 값으로 사용됩니다.
source security_result.summary not_jsongrok 필터가 일치하는 경우 사용됩니다.
sourceTranslatedAddress principal.ip principal.ip 배열로 병합되었습니다.
sourceTranslatedAddress principal.asset.ip principal.asset.ip 배열로 병합되었습니다.
sourceTranslatedPort principal.port 비어 있지 않거나 -1이 아닌 경우 정수로 변환됩니다.
spt principal.port 정수로 변환되었습니다.
sr_summary security_result.summary not_jsongrok 필터가 일치하는 경우 사용됩니다.
src principal.ip principal.ip 배열로 병합되었습니다.
src principal.asset.ip principal.asset.ip 배열로 병합되었습니다.
suser principal.user.user_display_name 직접 매핑
tenantCDLid additional.fields 로그 필드에서 키 'tenantCDLid'와 문자열 값을 사용하여 additional.fields에 키-값 쌍을 만듭니다.
tenantname additional.fields 로그 필드에서 키 'tenantname'과 문자열 값을 사용하여 additional.fields에 키-값 쌍을 만듭니다.
users target.user.userid users 배열의 첫 번째 요소를 사용합니다.
xdr_url metadata.url_back_to_product 직접 매핑

변경사항

2024-07-05

  • 'isInteractive'가 'security_result.detection_fields'에 매핑되었습니다.

2024-04-02

  • 'properties.createdDateTime'이 'metadata.event_timestamp'에 매핑되었습니다.
  • 'properties.resourceServicePrincipalId' 및 'resourceServicePrincipalId'가 'target.resource.attribute.labels'에 매핑되었습니다.
  • 'properties.authenticationProcessingDetails', 'authenticationProcessingDetails', 'properties.networkLocationDetails'가 'additional.fields'에 매핑되었습니다.
  • 'properties.userAgent'가 'network.http.user_agent' 및 'network.http.parsed_user_agent'에 매핑되었습니다.
  • 'properties.authenticationRequirement'가 'additional.fields'에 매핑되었습니다.

2024-04-17

  • 'action_local_port'가 'principal.port'에 매핑되었습니다.
  • 'dst_agent_id'가 'principal.ip'에 매핑되었습니다.
  • 'action_remote_ip'가 'target.ip'에 매핑되었습니다.
  • 'action_remote_port'가 'target.ip'에 매핑되었습니다.
  • 'metadata.event_type'을 'NETWORK_CONNECTION'으로 설정하기 전에 'target_device'가 있는지 확인하는 검사를 추가했습니다.

2024-03-15

  • 메일 헤더에서 'source' 및 'sr_summary'를 가져오는 Grok이 추가되었습니다.
  • 'sr_summary'가 'security_result.summary'에 매핑되었습니다.

2024-03-11

  • CEF 형식 로그에 대한 지원이 추가되었습니다.
  • 'rt'가 'metadata.event_timestamp'에 매핑되었습니다.
  • 'category' 및 'cat'이 'security_result.category_details'에 매핑되었습니다.
  • 'cs2Label', 'cs2', 'tenantname', 'tenantCDLid', 'CSPaccountname'이 'additional.fields'에 매핑되었습니다.
  • 'shost'가 'principal.hostname' 및 'principal.asset.hostname'에 매핑되었습니다.
  • 'spt'가 'principal.port'에 매핑되었습니다.
  • 'src'가 'principal.ip' 및 'principal.asset.ip'에 매핑되었습니다.
  • 'suser'가 'principal.user.user_display_name'에 매핑되었습니다.
  • 'dpt'가 'target.port'에 매핑되었습니다.
  • 'dst'가 'target.ip' 및 'target.asset.ip'에 매핑되었습니다.
  • 'fileHash'가 'target.file.sha256'에 매핑되었습니다.
  • 'filePath'가 'target.file.full_path'에 매핑되었습니다.
  • 'request'가 'network.http.referral_url'에 매핑되었습니다.
  • 'msg'가 'security_result.description'에 매핑되었습니다.

2024-01-18

  • 'action_file_path' 매핑이 'target.file.full_path'에서 'target.resource.attribute.labels'로 변경되었습니다.
  • 'domain'이 'target.asset.hostname'에 매핑되었습니다.
  • 'destinationTranslatedAddress'가 'target.asset.ip'에 매핑되었습니다.
  • 'host_name'이 'principal.asset.hostname'에 매핑되었습니다.
  • 'dvchost'가 'principal.asset.hostname'에 매핑되었습니다.
  • 'ip'가 'principal.asset.ip'에 매핑되었습니다.
  • 'sourceTranslatedAddress'가 'principal.asset.ip'에 매핑되었습니다.

2023-11-10

  • 'event_type'이 'RPC Call'인 경우 'metadata.event_type'이 'STATUS_UPDATE'에 매핑됩니다.
  • 'events.action_country'가 'security_result.about.location.country_or_region'에 매핑되었습니다.
  • 'events.actor_process_command_line'이 'target.process.command_line'에 매핑되었습니다.
  • 'events.actor_process_image_md5'가 'target.file.md5'에 매핑되었습니다.
  • 'events.actor_process_image_path'가 'target.file.full_path'에 매핑되었습니다.
  • 'events.actor_process_image_sha256'이 'target.file.sha256'에 매핑되었습니다.
  • 'events.actor_process_instance_id'가 'target.process.pid'에 매핑되었습니다.
  • 'events.os_actor_process_command_line'이 'principal.process.command_line'에 매핑되었습니다.
  • 'events.os_actor_process_image_path'가 'principal.file.full_path'에 매핑되었습니다.
  • 'events.os_actor_process_image_sha256'이 'principal.file.sha256'에 매핑되었습니다.
  • 'events.os_actor_process_instance_id'가 'principal.process.pid'에 매핑되었습니다.
  • 'events.causality_actor_process_command_line'이 'intermediary.process.command_line'에 매핑되었습니다.
  • 'events.causality_actor_process_image_path'가 'intermediary.file.full_path'에 매핑되었습니다.
  • 'events.causality_actor_process_image_sha256'이 'intermediary.file.sha256'에 매핑되었습니다.
  • 'events.causality_actor_process_instance_id'가 'intermediary.process.pid'에 매핑되었습니다.
  • 'events.causality_actor_process_image_md5'가 'intermediary.file.md5'에 매핑되었습니다.
  • 'events.event_type'이 'metadata.product_event_type'에 매핑되었습니다.
  • 'events.user_name'이 'principal.user.user_display_name'에 매핑되었습니다.

2023-10-16

  • 'source'가 'principal.asset.attribute.labels'에 매핑되었습니다.
  • '네트워크 연결' 또는 '네트워크 이벤트'의 'event_type'이 'metadata.event_type'인 경우 'NETWORK_CONNECTION'으로 설정합니다.

2022-11-03

  • 'PanOSConfigVersion'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'PanOSContentVersion'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'PanOSDGHierarchyLevel1'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'PanOSDestinationLocation'이 'target.location.country_or_region'에 매핑되었습니다.
  • 'PanOSDynamicUserGroupName'이 'principal.group.group_display_name'에 매핑되었습니다.
  • 'PanOSSourceLocation'이 'principal.location.country_or_region'에 매핑되었습니다.
  • 'PanOSThreatCategory'가 'security_result.category_details'에 매핑되었습니다.
  • 'PanOSThreatID'가 'security_result.threat_id'에 매핑되었습니다.
  • 'app'이 'target.application'에 매핑되었습니다.
  • 'cs1'이 'additional.fields'에 매핑되었습니다.
  • 'cs3'이 'additional.fields'에 매핑되었습니다.
  • 'cs4'가 'additional.fields'에 매핑되었습니다.
  • 'cs5'가 'additional.fields'에 매핑되었습니다.
  • 'cs6'이 'additional.fields'에 매핑되었습니다.
  • 'cn1'이 'additional.fields'에 매핑되었습니다.
  • 'sourceTranslatedPort'가 'principal.port'에 매핑되었습니다.
  • 'sourceTranslatedAddress'가 'principal.ip'에 매핑되었습니다.
  • 'destinationTranslatedAddress'가 'target.ip'에 매핑되었습니다.
  • 'destinationTranslatedPort'가 'target.port'에 매핑되었습니다.
  • 'act'가 'security_result.action_details'에 매핑되었습니다.
  • 'deviceExternalId'가 'security_result.about.asset_id'에 매핑되었습니다.
  • 'dvchost'가 'principal.hostname'에 매핑되었습니다.
  • 'proto'가 'network.ip_protocol'에 매핑되었습니다.
  • 'fileId'가 'target.resource.attribute.labels'에 매핑되었습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.