Palo Alto Cortex XDR-Ereignisprotokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Palo Alto Cortex XDR-Ereignisprotokolle mithilfe von Google Cloud Storage in Google Security Operations aufnehmen. Der Parser extrahiert Sicherheitsereignisdaten aus Palo Alto Networks Cortex XDR-JSON-Protokollen. Dabei werden die Daten in das einheitliche Datenmodell (Unified Data Model, UDM) normalisiert, indem Felder zugeordnet, Datentypen konvertiert und Ereignisse anhand bedingter Logik, die mit den Feldern event_type und event_sub_type verknüpft ist, mit Metadaten wie Anbieter-, Produkt- und Ereignistypen angereichert werden. Außerdem werden Netzwerkverbindungen, Datei- und Registrierungsvorgänge, Prozessinformationen und Nutzeraktivitäten verarbeitet.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Google Cloud Speicherplatz ist in Ihrer Umgebung eingerichtet und aktiv Google Cloud
  • Berechtigter Zugriff auf Google Cloud und entsprechende Berechtigungen
  • Berechtigter Zugriff auf Palo Alto Cortex XDR

Google Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Konsole an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

  5. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus: * Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. cortex-xdr-events-googlesecops). * Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

    Note: You can't enable hierarchical namespace in an existing bucket.

* To add a bucket label, click the expander arrow to expand the **Labels** section.
* Click **Add label** and specify a key and a value for your label.

  6. Gehen Sie im Bereich Speicherort für Daten auswählen so vor: * Wählen Sie einen Standorttyp aus. * Wählen Sie im Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

    Note: If you select the **dual-region** location type, you can also choose to enable **turbo replication** by selecting the relevant checkbox.

* To set up cross-bucket replication, expand the **Set up cross-bucket replication** section.

  7. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

  8. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

  9. Gehen Sie im Bereich Festlegen, wie Objektdaten geschützt werden sollen so vor: * Wählen Sie unter Datenschutz eine der Optionen aus, die Sie für Ihren Bucket festlegen möchten. * Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  10. Klicken Sie auf Erstellen.

Cortex XDR-Ereignisweiterleitung konfigurieren

  1. Melden Sie sich in der Cortex XDR-Web-UI an.
  2. Gehen Sie zu Einstellungen > Konfigurationen > Datenverwaltung > Ereignisweiterleitung.
  3. Aktivieren Sie die Lizenzen im Abschnitt Aktivierung.
  4. Aktivieren Sie die GB-Ereignisweiterleitung, um geparste Logs für Cortex XDR Pro pro GB in eine externe SIEM zum Speichern zu exportieren.
  5. Aktivieren Sie die Ereignisweiterleitung für Endpunkte, um Rohendpunktdaten für Cortex XDR Pro EP und Cloud Endpoints zu exportieren.
  6. Speichern Sie die Auswahl.
  7. Kopieren Sie den angezeigten Speicherpfad.
  8. Generieren und herunterladen Sie das JSON WEB TOKEN des Dienstkontos, das den Zugriffsschlüssel enthält.
  9. Speichern Sie sie an einem sicheren Ort.

Google Cloud Secret Manager konfigurieren

  1. Melden Sie sich in der GCP an.
  2. Rufen Sie die Seite Secret Manager auf.
  3. Wenn Sie die Secret Manager API zum ersten Mal verwenden, werden Sie aufgefordert, sie zu aktivieren.
  4. Erstellen Sie ein Secret mit dem Namen EVENT_FRWD_CRTX_KEY und kopieren Sie den Inhalt der heruntergeladenen JSON-Datei xdr_sa_key.json als Wert des Secrets.

Feed in Google SecOps konfigurieren, um Palo Alto Cortex XDR-Ereignisprotokolle zu verarbeiten

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. PANW Cortex XDR-Ereignisprotokolle.
  4. Wählen Sie Google Cloud Storage als Quelltyp aus.
  5. Wählen Sie als Logtyp Palo Alto Cortex XDR-Ereignisse aus.
  6. Klicken Sie als Chronicle-Dienstkonto auf Dienstkonto abrufen.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage Bucket-URI: Google Cloud URL des Storage Buckets (z. B. gs://cortex-xdr-events-chronicle).
    • URI ist: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
    • Optionen zum Löschen der Quelle: Wählen Sie eine Löschoption aus.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

  11. Suchen Sie den Feed in der Liste Feeds und klicken Sie rechts neben der Zeile auf das Dreipunkt-Menü.

  12. Wählen Sie Feed deaktivieren aus.

Secret-JSON-Zugriff auf Cloud Storage konfigurieren

  1. Melden Sie sich in der GCP an.
  2. Rufen Sie die Seite Secret Manager auf.
  3. Wählen Sie das Secret EVENT_FRWD_CRTX_KEY aus.
  4. Rufen Sie den Tab Berechtigungen auf.
  5. Weisen Sie der Rolle Storage Object Admin und der Rolle Storage Legacy Bucket Reader Zugriff auf den zuvor erstellten Bucket cortex-xdr-events-chronicle zu.

Google SecOps-Berechtigungen für Cloud Storage konfigurieren

  1. Rufen Sie IAM & Verwaltung > IAM auf.
  2. Suchen Sie das Chronicle-Dienstkonto.
  3. Gewähren Sie dem Storage Object Viewer (roles/storage.objectViewer) Zugriff auf den zuvor erstellten Bucket cortex-xdr-events-chronicle.

PANW Cortex XDR-Ereignisprotokolle in Cloud Storage des Projekts aufnehmen

  1. Gehen Sie in Google Cloudzu APIs und Dienste > Bibliothek.
  2. Aktivieren Sie die Cloud Run- und die Artifact Registry APIs.
  3. Öffnen Sie Cloud Shell, indem Sie auf das Symbol in der oberen Navigationsleiste klicken.

  4. Laden Sie einen benutzerdefinierten Code mit dem folgenden Befehl herunter:

    git clone https://github.com/PaloAltoNetworks/google-cloud-cortex-chronicle.git

  5. Rufen Sie das Verzeichnis mit dem folgenden Befehl auf:

    cd google-cloud-cortex-chronicle/

  6. Öffnen Sie die Datei env.properties mit einem Editor wie vi.

  7. Geben Sie die folgenden Konfigurationsdetails an:

    REGION=us-central1 # Update according to your project region
REPO_NAME=panw-chronicle
IMAGE_NAME=sync_cortex_bucket
GCP_PROJECT_ID=chrxxxxxxxxx # Update according to your project ID
JOB_NAME=cloud-run-job-cortex-data-sync # The Cloud Job name 
ROJECT_NUMBER=80xxxxx9 # Update according to your project number
# JOB ENV VARIABLES
SRC_BUCKET=xdr-us-xxxxx-event-forwarding # Update with the Cortex XDR GCS bucket name
DEST_BUCKET=cortex-xdr-events-chronicle # Update with the GCS name of the bucket you created
SECRET_NAME=EVENT_FRWD_CRTX_KEY # Need to match the secret you created
JOB_SCHEDULE_MINS=30

  8. Gewähren Sie dem deploy.sh-Script die erforderlichen Berechtigungen:

    chmod 744 deploy.sh

  9. Führen Sie das Skript deploy.sh aus:

    ./deploy.sh

  10. Ermitteln Sie anhand der Skriptausgabe das verwendete Cloud Job-Dienstkonto.

  11. Gewähren Sie dem Dienstkonto für Cloud-Jobs die Berechtigung Secret Manager Secret Ancestor für den Zugriff auf das zuvor erstellte Secret (in unserem Beispiel EVENT_FRWD_CRTX_KEY).

  12. Gehen Sie zu Secret Manager > EVENT_FRWD_CRTX_KEY (Secret) > Berechtigungen.

  13. Gehen Sie auf der Google SecOps-Plattform zu SIEM-Einstellungen > Feeds > Name des XDR-Ereignisfeeds > Feed aktivieren.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
action_file_path target.file.full_path Direkt zugeordnet
action_file_size target.file.size Direkt zugeordnet und in eine Ganzzahl ohne Vorzeichen umgewandelt
action_local_ip principal.ip Direkt zugeordnet und mit anderen IP-Adressen zusammengeführt
action_local_port principal.port Direkt zugeordnet und in eine Ganzzahl umgewandelt
action_module_path target.process.file.full_path Direkt zugeordnet
action_network_connection_id network.session_id Direkt zugeordnet
action_network_protocol network.ip_protocol Wurde in protocol_number_src umbenannt, mit parse_ip_protocol.include geparst und network.ip_protocol zugeordnet
action_process_image_command_line target.process.command_line Direkt zugeordnet
action_process_image_md5 target.process.file.md5 Direkt zugeordnet
action_process_image_path target.process.file.full_path Direkt zugeordnet
action_process_image_sha256 target.process.file.sha256 Direkt zugeordnet
action_process_os_pid target.process.pid Direkt zugeordnet und in String umgewandelt
action_process_user_sid target.user.windows_sid Direkt zugeordnet
action_process_username target.user.userid, target.administrative_domain In Kleinbuchstaben, nach Domain und Nutzer geparst und entsprechend zugeordnet
action_registry_data target.registry.registry_value_data Direkt zugeordnet
action_registry_key_name target.registry.registry_key Direkt zugeordnet
action_registry_value_name target.registry.registry_value_name Direkt zugeordnet
action_remote_ip target.ip Direkt zugeordnet und mit anderen IP-Adressen zusammengeführt
action_remote_port target.port Direkt zugeordnet und in eine Ganzzahl umgewandelt
action_total_download network.received_bytes Direkt zugeordnet und in eine Ganzzahl ohne Vorzeichen umgewandelt
action_total_upload network.sent_bytes Direkt zugeordnet und in eine Ganzzahl ohne Vorzeichen umgewandelt
agent_hostname principal.hostname, observer.hostname In Kleinbuchstaben und zugeordnet
agent_ip_addresses observer.ip Als JSON geparst, in einzelne IP-Adressen aufgeteilt und zusammengeführt
agent_os_sub_type target.platform_version Direkt zugeordnet
event_id metadata.product_log_id Direkt zugeordnet
event_sub_type metadata.product_event_type In einen String umgewandelt und für die bedingte Zuordnung von metadata.event_type und metadata.product_event_type verwendet
event_timestamp metadata.event_timestamp, timestamp In einen String umgewandelt, als UNIX_MS-Zeitstempel geparst und zugeordnet
event_type metadata.event_type In einen String umgewandelt und für die bedingte Zuordnung von metadata.event_type und metadata.product_event_type verwendet
os_actor_process_command_line principal.process.command_line Direkt zugeordnet
os_actor_process_image_md5 principal.process.file.md5 Direkt zugeordnet
os_actor_process_image_path principal.process.file.full_path Direkt zugeordnet
os_actor_process_image_sha256 principal.process.file.sha256 Direkt zugeordnet
os_actor_process_instance_id principal.process.product_specific_process_id Sie haben das Präfix „PAN:“ und sind zugeordnet.
os_actor_process_os_pid principal.process.pid In String umgewandelt und zugeordnet
os_actor_primary_user_sid principal.user.windows_sid Wird zugeordnet, wenn er mit „S-“ oder „s-“ beginnt.
os_actor_primary_username principal.user.userid, principal.administrative_domain In Kleinbuchstaben, nach Domain und Nutzer geparst und entsprechend zugeordnet
_action security_result.action Mit _security_result zusammengeführt und dann kartiert
metadata.log_type metadata.log_type Hartcodiert auf „PAN_CORTEX_XDR_EVENTS“
metadata.product_name metadata.product_name „Cortex XDR“ ist hartcodiert.
metadata.vendor_name metadata.vendor_name Hartcodiert auf „PAN“
target.platform target.platform Legen Sie „WINDOWS“ fest, wenn agent_os_sub_type „Windows“ enthält.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten