- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
サインインで完全なコミュニティ体験を!
[Cortex XDR/XSIAM]Broker VMを使用したサードパーティログの取り込み - syslog collector
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
- LIVEcommunity
- Japan Community
- Cortex
- Pre-Sales
- 設定、構築ガイド
- [Cortex XDR/XSIAM]Broker VMを使用したサードパーティログの取り込み - syslog collector
オプション
- RSS フィードを購読する
- 新着としてマーク
- 既読としてマーク
- 印刷用ページ
massaito
L4 Transporter
この記事ではサードパーティのログを取り込むための1つの例として、
Broker VMのSyslog Collectorを使用してログをCortex XDRに送信する方法、送信したデータをXQLを使用して抽出する方法について説明します。
設定の勘所をお伝えすることを目的にしているので、設定の内容や動作について保証するものではないことをご承知おきください。
またBroker VMの詳細設定はTech Docsを確認してください。(この記事の一番下にリンクを付けています)
ログの送信の概要
ここではSquidサーバのログをsyslogでBroker VM(syslog collector)に送信し、Broker VMがCortex XDRへログを送信する例を紹介します。
Broker VMの概要はこちらを事前に読んでいただけると良いかと思います。
構成は以下の通りです。
| Squidサーバ(Linux,rsyslogdが起動) | --(514/UDP)--> | Broker VM | --> | Cortex XDR |
syslog collectorを使用する場合、ログはCEF/LEEF形式のフォーマットで整形されている必要があるので、
事前にログフォーマットの確認が必要です。
Broker VMの設定
syslog collectorの機能をアクティベートし、syslogクライアント(ここではsquidサーバのrsyslogdなど)からデータを受信するための設定を行います。
以下の例では
・通信プロトコル:514/UDP
・フォーマット:CEF
・CEF形式のログに定義されるVENDOR/PRODUCT:Auto-Detect
・ソースネットワーク:ここでは送信元のsyslogクライアントのネットワークを定義しておきます。(192.168.68.0/24)
プロトコルはUDPの他にTCPやTLSも選択可能です。
Squidサーバ
ログフォーマットの設定
以下の例では設定ファイル(/etc/squid/conf.d/default.conf)にCEF形式のログフォーマットを定義します。
VENDOR,PRODUCTがそれぞれPANJPTest, Squidとなっています。
またアクセスログ(access_log)を定義したCEFフォーマットを使用してlocal.infoで出力する設定を行います。
logformat CEF CEF:0|PANJPTest|Squid|3.1|%Ss:%Sh|%rm %>Hs:%<Hs|Unknown|ltime=%{%d.%b.%Y-%H:%M:%S.%z}tl src=%>a shost=%>A sport=%>p dst=%<A srcUserName=%un userName_from_auth=%ul userName_from_ident=%ul userName_from_external_acl_helper=%ue cn1Label=Responce_Time cn1=%tr squidRequestStatus=%Ss squidHierarhyStatus=%Sh statusCode=%>Hs statusCodeFromNextHop=%<Hs fileType=%mt requestMethod=%rm request=%ru aclTag=%et in=%st requestProtocol=HTTP/%rv cs4Label=Referer cs4=%{Referer}>h requestClientApplication=%{User-Agent}>h X-forwarded-for=%{X-forwarded-for}h
access_log syslog:local0.info CEF
rsyslogの設定
設定ファイル(/etc/rsyslog.conf)に、
local0で受信したCEF形式のログデータをBroker VMに送信するための設定を追記します。
local0.* @[Broker VMのIP Address]:514
XDRコンソールでテータ受信の確認
Dataset Managementを見ると、<VENDOR>_<PRODUCT>_rawという名前でdatasetが生成されていることがわかります。
また、以下のようにXQLを使用してデータを検索することもできます。
XQLをダッシュボード上に埋め込み、抽出したデータをグラフとして表示することも可能になります。
Tech Docs
Broker VMの概要についてはこちら
Broker VMのSyslog Collectorの詳細はこちら
この記事を評価:
- 1638 閲覧回数
- 0 コメント
- 0 賞賛
Related Content
- [Cortex XDR/XSIAM]データを指定のDatasetへ振り分ける - Parsing Rules - in 設定、構築ガイド
- [Cortex XDR/XSIAM]サードパーティのセキュリティセンサーアラートを取り込む - Syslog Collector - in 設定、構築ガイド
- [Cortex XDR/XSIAM]Broker VMを使用したサードパーティログ(JSONデータ)の取り込み - Files and Folders Collector in 設定、構築ガイド
- [Cortex XDR/XSIAM]HTTPプロトコルを使用してCortex XDRへログを送信する - HTTP Collector in 設定、構築ガイド
- Cortex リリース情報 June/July 2023 in 設定、構築ガイド
ラベル
-
Active Attack Surface Management
2 -
AI
1 -
Allow List
1 -
Aperture
1 -
App-ID
1 -
Apple
1 -
ASM
2 -
Attack Surface Management
2 -
AuditLogs
1 -
autofocus
2 -
Automation
1 -
Autonomous SOC
1 -
AWS
1 -
AWS CloudTrail
1 -
Azure AD
1 -
BIOC
2 -
Block List
1 -
Box
1 -
Broker VM
6 -
CIS Benchmark
1 -
Cloud
2 -
Cloud Inventory
1 -
comp
1 -
Correlation Rules
1 -
Cortex
7 -
Cortex Agent
1 -
Cortex XDR
39 -
Cortex Xpanse
2 -
Cortex XSIAM
42 -
cyber hygiene
2 -
Dashboard
1 -
dedup
1 -
Demo
1 -
Device Control
1 -
DHCP
1 -
EASM
2 -
Endpoint
5 -
external alert
1 -
filter
1 -
Forensic Module
1 -
GigaOm
1 -
Host Firewall
2 -
Host Insights
1 -
HTTP Collector
1 -
IaaS
1 -
Identity Threat Detection and Response
1 -
IOC
1 -
iOS
1 -
iPad
1 -
ISMAP
1 -
ISO
1 -
Isolation
1 -
ITDR
1 -
Logs
1 -
Lookup
1 -
machine learning
1 -
Microsoft 365
1 -
MITRE Engenuity
1 -
NDR
1 -
network_story
1 -
NGFW
1 -
Parsing Rules
2 -
Prevent
5 -
Prisma Access
1 -
privacy
1 -
Pro per EP
18 -
Pro per GB
10 -
Pro per TB
7 -
Release Information
1 -
Report template
1 -
Reports
1 -
Response Action
1 -
Restriction Security Profile
1 -
Risk Management
1 -
SaaS
1 -
Scheduled Queries
1 -
SOC
1 -
SOC2
1 -
syslog collector
1 -
Threat
3 -
trust center
1 -
UEBA
1 -
User Notifications
1 -
User-ID
1 -
VPC Flow logs
1 -
WEF
1 -
Widgets
1 -
WildFire
3 -
XDR Collector
1 -
XQL
12 -
概要や特徴説明
4 -
製品機能
3
- « 前へ
- 次へ »
LEGAL NOTICES
Copyright 2007 - 2024 - Palo Alto Networks