Hvis du har Cortex XDR Pro pr TB og en eller flere PA NGFW så vil jeg anbefale å kjøre denne som en XQL-QUERY:
dataset = panw_ngfw_traffic_raw
|fields from_zone, source_ip , source_user , is_decrypted , to_zone , dest_ip , protocol , dest_port , app , bytes_sent , bytes_received , action , rule_matched , log_source_name
Med denne kan du få likt bilde og like søkemuligheter som du får direkte på din PA NGFW under Monitor - Traffic
En kan også lage for Monitor-Threat og Monitor-URL Filtering om en ønsker det. |
Veldig fin å ha om de som jobber med Cortex XDR av en eller annen årsak ikke har tilgang til brannmur direkte.
Slik blir XQL-QUERY for Monitor - URL Filtering:
Slik blir XQL-QUERY for Monitor - URL Filtering:
dataset = panw_ngfw_url_raw
|fields from_zone, source_ip , source_user , is_decrypted , to_zone , url_category , uri , dest_ip , protocol , dest_port , app , action , rule_matched , log_source_name