Recopila registros de firewall de Palo Alto Networks

Compatible con:

Descripción general

En este documento, se describe cómo configurar syslog y un reenviador de Google Security Operations para recopilar registros del firewall de Palo Alto Networks. En este documento, también se explica cómo los campos de registro del firewall de Palo Alto Networks se asignan a los campos del modelo de datos unificado (UDM) de Google Security Operations.

Para obtener una descripción general de la transferencia de datos a Google Security Operations, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato de UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia PAN_FIREWALL.

Antes de comenzar

  • Para comprender los componentes implementados para recopilar el firewall de Palo Alto Networks y registros del sistema, revisa la arquitectura de implementación. Cada implementación de cliente puede ser diferente de esta representación y podría ser más compleja.

    En el siguiente diagrama, se muestra cómo configurar syslog en una instancia de Palo Alto Networks firewall e instalarás un servidor de reenvío de Google Security Operations en un servidor Linux para reenviar datos a Google Security Operations. El analizador admite registros escritos en el siguiente formatos de datos: valores separados por comas (CSV), formato de evento común (CEF) y Formato extendido de eventos de registro (LEEF).

    Arquitectura de implementación

  • Verifica los formatos de registro y las versiones de PAN-OS que usa el analizador de Google Security Operations admite. En la siguiente tabla, se enumeran los formatos de registro y los PAN-OS correspondientes compatibles con el analizador de Google Security Operations:

    Formato de registro Versión de PAN-OS
    CSV 10.1.3
    CEF 10.0.0
    LEEF 9.1.0

  • Verifica los tipos de registros de firewall de Palo Alto Networks que admite el analizador de Google Security Operations. El analizador de Google Security Operations admite los siguientes tipos de registros de firewall de Palo Alto Networks:

    • Tráfico
    • Amenaza
    • Envíos de WildFire
    • Inspección de túneles
    • Configuración
    • Sistema
    • Coincidencia con HIP
    • Etiqueta de IP
    • User-ID
    • Desencriptación
    • Autenticación
    • Filtros de URL
    • Filtrado de datos
    • GlobalProtect
    • Correlación

    Para obtener más información sobre los tipos de registros de firewall de Palo Alto Networks, consulta Tipos de registros de PAN-OS.

  • Asegúrate de que todos los sistemas en la arquitectura de implementación estén configurados en la zona horaria UTC.

  • Antes de usar el analizador de firewall de Palo Alto Networks, revisa los cambios en las asignaciones de campos entre el analizador anterior y el analizador de firewall de Palo Alto Networks actual. Como parte de la migración, asegúrate de que las reglas, las búsquedas los paneles u otros procesos que dependen de los campos originales usan los campos actualizados.

    Por ejemplo, en la versión anterior del analizador, el campo de registro category se asigna al Campo de UDM security_result.description. En el analizador de firewall de Palo Alto Networks actual, el campo de registro category se asigna al campo UDM security_result.category_details. Si migras al analizador de firewall actual de Palo Alto Networks y usas el campo category en tus reglas, haz lo siguiente: Debes modificar las reglas para usar el campo UDM security_result.category_details del analizador actual.

Configura syslog y el servidor de reenvío de Google Security Operations

Para configurar el syslog y el reenviador de Google Security Operations, completa los siguientes pasos:

  1. Para supervisar los registros de CSV, configura el perfil del servidor syslog. Para obtener más información, consulta Configura el perfil del servidor de syslog.

    Cuando configures el perfil del servidor de syslog, especifica "Predeterminado" como el formato de registro personalizado.

  2. Para supervisar los registros de CEF, configura el firewall de Palo Alto Networks para que reenvíe los registros de CEF. Para obtener más información, descarga el PDF de la guía de integración de CEF de PAN-OS y consulta la sección "Configuración del NGFW de Palo Alto Networks para generar eventos de CEF".

  3. Para supervisar los registros de LEEF, configura el perfil del servidor syslog. Para obtener más información, consulta Reenvío de registros personalizado en formato LEEF.

  4. Configura el reenviador de Google Security Operations para enviar registros a Google Security Operations. Para obtener más información, consulta Instala y configura el reenviador en Linux. A continuación, se muestra un ejemplo de la configuración de un reenviador de Google Security Operations:

      - syslog:
          common:
            enabled: true
            data_type: PAN_FIREWALL
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Referencia de asignación de campos: campos de registros de firewall de PAN a campos UDM

En esta sección, se explica cómo el analizador asigna los campos de registro del firewall de Palo Alto Networks a los campos de eventos de la UDM de Google Security Operations para cada tipo de registro.

La clave de etiqueta de Google Security Operations hace referencia al nombre de la clave asignada al campo UDM de Labels.key. Por ejemplo, en el caso del “sistema virtual” , el nombre del campo es "cs3" en CEF y es “VirtualSystem” en formato LEEF. El campo de UDM "about.labels.key" contiene el valor "vsys" y el campo de UDM "about.labels.value" contiene el valor de ese campo.

Algunos de los nombres de los campos CEF o LEEF no tienen un nombre que corresponda al archivo CSV en los nombres de campo. En esos casos, si agregas tu propio nombre de variable en formato de registro personalizado en el perfil de syslog, el analizador no lo asigna al campo UDM.

Consulta las siguientes secciones para obtener referencias de la asignación de cada tipo de registro:

Sistema

En la siguiente tabla, se enumeran los campos de registro del tipo de registro del sistema y sus correspondientes campos de UDM.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) gato metadata.product_event_type está configurado como "%{type} - %{subtype}".
Tipo de amenaza o contenido (subtipo) subtype (Header) Subtipo metadata.product_event_type se establece en "%{type} - %{subtype}".
Hora generada (time_generated o cef-formatted-time_generated) metadata.event_timestamp
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de evento (eventid) gato eventid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Objeto (objeto) fname Nombre del archivo objeto

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Módulo (módulo) flexString2 Módulo module

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Gravedad (severity) $number-of-severity(header) Gravedad security_result.severity y security_result.severity_details
Descripción (opaco) msg msg metadata.description
principal_user_userid (este campo se extrae del campo msg) principal.user.userid
principal_ip3 (este campo se extrae del campo msg) principal.ip
Motivo (este campo se extrae del campo msg) security_result.description
server_address (este campo se extrae del campo msg) target.ip
server_profile (este campo se extrae del campo msg) additional.fields.key y additional.fields.value.string_value
Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
Marca de tiempo de alta resolución (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Configuración

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de configuración y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) gato metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtipo (encabezado) metadata.product_event_type
Hora generada (time_generated o cef-formatted-time_generated) metadata.event_timestamp
Host (host) shost src principal.ip/hostname
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Comando (cmd) actuar msg cmd metadata.description
Administrador (admin) duser usrName principal.user.userid
Cliente (cliente) destinationServiceName cliente principal.application
Resultado (resultado) ID de firma (encabezado) (motivo) Resultado security_result.summary
Ruta de configuración (path) msg ConfigurationPath principal.process.command_line
Detalle del antes del cambio (before_change_detail) cs1 BeforeChangeDetail before_change_detail target.resource.attribute.labels.key/value
Detalle después del cambio (after_change_detail) cs2 AfterChangeDetail after_change_detail target.resource.attribute.labels.key/value
Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
Grupo de dispositivos (dg_id) PanOSFWDeviceGroup dg_id principal.asset.attribute.labels.key/value
Comentario de auditoría (comentario) PanOSPolicyAuditComment comentario

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Amenaza/WildFire

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de amenazas/WildFire y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si no hay "Generate Time")

Número de serie deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) gato metadata.product_event_type
Amenaza/tipo de contenido (subtipo) cat/subtype (encabezado) Subtipo metadata.product_event_type
Hora de generación (time_generated o cef-formatted-time_generated) metadata.event_timestamp
Dirección de origen (src) src src principal.ip
Dirección de destino (dst) DST DST target.ip
IP de origen de NAT (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
IP de destino de NAT (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
Nombre de la regla (rule) cs1 RuleName security_result.rule_name
Usuario de origen (srcuser) Suser SourceUser / usrName principal.user.userid
Usuario de destino (dstuser) ducha DestinationUser target.user.userid
Aplicación (app) app Aplicación target.application
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de origen (desde) cs4 SourceZone de

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de destino (hasta) cs5 DestinationZone a

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz entrante (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz de salida (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Acción de registro (conjunto de registros) cs6 LogForwardingProfile conjunto de registros

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión (sessionid) cn1 SessionID network.session_id
Recuento de repetición (repetición) cnt RepeatCount repeatcnt

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Puerto de origen (sport) spt srcPort principal.port
Puerto de destino (dport) dpt dstPort target.port
Puerto de origen NAT (natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
Puerto de destino de NAT (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
Marcas flexString1 Marcas flags

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Protocolo IP (proto) protocolo protocolo network.ip_protocol
Acción actuar acción security_result.action_details

security_result.action

URL o nombre del archivo (misc) solicitud Varios

target.file.full_path (si el subtipo es "file", "virus", "wildfire-virus" o "wildfire", el campo "misc" se asigna a target.file.full_path)

target.url (si el subtipo es "url", el campo "misc" se asigna a target.url y target.hostname)

target.hostname (si el subtipo es "spyware" o "vulnerability", el campo "misc" se asigna a target.file.full_path y target.url)

Nombre de contenido o amenaza (Threatid) gato ThreatID security_result.threat_name
Categoría cs2 URLCategory security_result.category_details
Gravedad number-of-severity(header) Gravedad security_result.severity y security_result.severity_details
Dirección flexString2 Dirección network.direction
Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

País de origen (srcloc) SourceLocation principal.location.country_or_region
País de destino (dstloc) DestinationLocation target.location.country_or_region
Tipo de contenido ContentType contenttype

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de PCAP (pcap_id) ID del archivo PCAP_ID pcap_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Resumen de archivos (filedigest) fileHash FileDigest acerca del archivo.sha1/md5/sha256
Nube (cloud) filePath Nube nube

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Índice de URL (url_idx) URLIndex url_idx

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Usuario-agente (user_agent) network.http.user_agent
Tipo de archivo (filetype) fileType FileType about.file.mime_type
X-Forwarded-For (xff) principal.ip
URL de referencia network.http.referral_url
Remitente (sender) suid Remitente network.email.from
Asunto (subject) msg Asunto network.email.subject
Destinatario (destinatario) duid Destinatario network.email.to
ID del informe (reportid) oldFileId ReportID reportid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
UUID de la VM de origen (src_uuid) PanOSSrcUUID SrcUUID principal.user.product_object_id
UUID de la VM de destino (dst_uuid) PanOSDstUUID DstUUID target.user.product_object_id
Método HTTP (http_method) RequestMethod network.http.method
ID de túnel/IMSI (tunnel_id/imsi) PanOSTunnelID TunnelID tunnel_id/imsi

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Etiqueta de supervisión/IMEI (monitortag/imei) PanOSMonitorTag MonitorTag monitortag/imei

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión superior (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
Hora de inicio de la sesión principal (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tipo de túnel (túnel) PanOSTunnelType TunnelType túnel

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Categoría de amenaza (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
Versión de contenido (contentver) PanOSContentVer ContentVer Contentver

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de asociación de SCTP (assoc_id) PanOSAssocID assoc_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de protocolo de carga útil (ppid) PanOSPPID ppid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Encabezados HTTP (http_headers) PanOSHTTPHeader http_headers

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Lista de categorías de URL (url_category_list) PanOSURLCatList url_category_list

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

UUID de la regla (rule_uuid) PanOSRuleUUID security_result.rule_id
Conexión HTTP/2 (http2_connection) PanOSHTTP2Con http2_connection

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre dinámico del grupo de usuarios (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Dirección XFF (xff_ip) PanXFFIP principal.ip
Categoría del dispositivo de origen (src_category) PanSrcDeviceCat src_category

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil del dispositivo de origen (src_profile) PanSrcDeviceProf src_profile

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo del dispositivo de origen (src_model) PanSrcDeviceModel src_model

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor del dispositivo de origen (src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Familia del SO del dispositivo de origen (src_osfamily) PanSrcDeviceOS src_osfamily

principal.asset.platform_software.platform

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Versión del SO del dispositivo de origen (src_osversion) PanSrcDeviceOSv principal.asset.software.version
Nombre de host de origen (src_host) PanSrcHostname principal.hostname
Dirección MAC de origen (src_mac) PanSrcMac principal.mac
Categoría del dispositivo de destino (dst_category) PanDstDeviceCat dst_category

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil de dispositivo de destino (dst_profile) PanDstDeviceProf dst_profile

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo del dispositivo de destino (dst_model) PanDstDeviceModel dst_model

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor de dispositivos de destino (dst_vendor) PanDstDeviceVendor dst_vendor

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Familia de SO de los dispositivos de destino (dst_osfamily) PanDstDeviceOS dst_osfamily

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Versión del SO del dispositivo de destino (dst_osversion) PanDstDeviceOSv target.asset.software.version
Nombre de host de destino (dst_host) PanDstHostname target.hostname
Dirección MAC de destino (dst_mac) PanDstMac target.mac
ID del contenedor (container_id) PanContainerName container_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Espacio de nombres del POD (pod_namespace) PanPODNamespace pod_namespace

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del POD (pod_name) PanPODName pod_name

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de origen (src_edl) PanSrcEDL src_edl

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de destino (dst_edl) PanDstEDL dst_edl

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de host (hostid) PanGPHostID hostid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Número de serie del dispositivo de usuario PanEPSerial principal.asset.hardware.serial_number
EDL de dominio (domain_edl) PanDomainEDL domain_edl

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Grupo de direcciones dinámicas de origen (src_dag) PanSrcDAG principal.group.group_display_name
Grupo de direcciones dinámico de destino (dst_dag) PanDstDAG target.group.group_display_name
Hash parcial (partial_hash) PanPartialHash partial_hash

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Marca de tiempo de alta resolución (marca_de_tiempo_alta_res) PanTimeHighRes marca de tiempo de alta resolución metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Motivo (reason) PanReasonFilteringAction Reason

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Justificación (justificación) PanJustification justificación

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Un tipo de servicio de Slice (nssai_sst) PanASServiceType nssai_sst

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Subcategoría de la aplicación (subcategory_of_app) subcategory_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Categoría de aplicación (category_of_app) category_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tecnología de la aplicación (technology_of_app) technology_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Riesgo de la aplicación (risk_of_app) risk_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Característica de la aplicación (characteristic_of_app) characteristic_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Contenedor de la aplicación (container_of_app) container_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

SaaS de aplicación (is_saas_of_app) is_saas_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Estado de aplicación sancionada (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tráfico

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de tráfico y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) cat/Type metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtype (Header) Subtipo metadata.product_event_type
Hora generada (time_generated o cef-formatted-time_generated) start metadata.event_timestamp
Dirección de origen (src) src src principal.ip
Dirección de destino (dst) DST DST target.ip
IP de origen de NAT (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
IP de destino de NAT (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
Nombre de la regla (rule) cs1 RuleName security_result.rule_name
Usuario de origen (srcuser) suser SourceUser principal.user.userid
Usuario de destino (dstuser) ducha DestinationUser target.user.userid
Aplicación (app) app Aplicación target.application
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de origen (desde) cs4 SourceZone de

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de destino (hasta) cs5 DestinationZone a

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz entrante (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz de salida (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Acción de registro (conjunto de registros) cs6 LogForwardingProfile conjunto de registros

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión (sessionid) cn1 SessionID network.session_id
Recuento de repetición (repetición) cnt RepeatCount repeatcnt

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Puerto de origen (sport) spt srcPort principal.port
Puerto de destino (dport) dpt dstPort target.port
Puerto de origen NAT (natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
Puerto de destino de NAT (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
Marcas flexString1 Marcas flags

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Protocolo IP (proto) protocolo protocolo network.ip_protocol
Acción actuar acción security_result.action_details

security_result.action

Bytes (bytes) flexNumber1 totalBytes bytes

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Bytes enviados (bytes_sent) en srcBytes network.sent_bytes
Bytes recibidos (bytes_received) Salida dstBytes network.received_bytes
Paquetes (paquetes) cn2 totalPackets paquetes

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Hora de inicio (inicio) StartTime start

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tiempo transcurrido (transcurrido) cn3 ElapsedTime transcurrido network.session_duration.seconds
Categoría cs2 URLCategory security_result.category / security_result.category_details
Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

País de origen (srcloc) SourceLocation principal.location.country_or_region
País de destino (dstloc) DestinationLocation target.location.country_or_region
Paquetes enviados (pkts_sent) PanOSPacketsSent srcPackets pkts_sent

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Paquetes recibidos (pkts_received) PanOSPacketsReceived dstPackets pkts_received

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Motivo de finalización de la sesión (session_end_reason) Reason SessionEndReason security_result.summary
Jerarquía del grupo de dispositivos 1 (de dg_hier_level_1 a dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
Fuente de la acción (action_source) gato ActionSource action_source

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

UUID de la VM de origen (src_uuid) PanOSSrcUUID SrcUUID principal.asset.product_object_id
UUID de la VM de destino (dst_uuid) PanOSDstUUID DstUUID target.asset.product_object_id
ID de túnel/IMSI (tunnelid/imsi) PanOSTunnelID TunnelID tunnelid/imsi

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Etiqueta de supervisión/IMEI (monitortag/imei) PanOSMonitorTag MonitorTag monitortag/imei

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión superior (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
Hora de inicio del elemento superior (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tipo de túnel (túnel) PanOSTunnelType TunnelType túnel

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de asociación de SCTP (assoc_id) PanOSSCTPAssocID assoc_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Fragmentos de SCTP (fragmentos) PanOSSCTPChunks trozos

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Fragmentos SCTP enviados (chunks_sent) PanOSSCTPChunkSent chunks_sent

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Fragmentos SCTP recibidos (chunks_received) PanOSSCTPChunksRcv chunks_received

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

UUID de la regla (rule_uuid) PanOSRuleUUID security_result.rule_id
Conexión HTTP/2 (http2_connection) PanOSHTTP2Con http2_connection

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Recuento de aletas de app (link_change_count) PanLinkChange link_change_count

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de la política (policy_id) PanPolicyID policy_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Interruptores de vínculo (link_switches) PanLinkDetail link_switches

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Clúster de SD-WAN (sdwan_cluster) PanSDWANCluster sdwan_cluster

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tipo de dispositivo SD-WAN (sdwan_device_type) PanSDWANDevice sdwan_device_type

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tipo de clúster de SD-WAN (sdwan_cluster_type) PanSDWANClustype sdwan_cluster_type

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Sitio de SD-WAN (sdwan_site) PanSDWANSite sdwan_site

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre dinámico del grupo de usuarios (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Dirección XFF (xff_ip) PanXFFIP principal.ip
Categoría del dispositivo de origen (src_category) PanSrcDeviceCat src_category

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil del dispositivo de origen (src_profile) PanSrcDeviceProf src_profile

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo del dispositivo de origen (src_model) PanSrcDeviceModel src_model

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor del dispositivo de origen (src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Familia del SO del dispositivo de origen (src_osfamily) PanSrcDeviceOS

principal.asset.platform_software.platform

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Versión del SO del dispositivo de origen (src_osversion) PanSrcDeviceOSv principal.asset.software.version
Nombre de host de origen (src_host) PanSrcHostname principal.hostname
Dirección MAC de origen (src_mac) PanSrcMac principal.mac
Categoría del dispositivo de destino (dst_category) PanDstDeviceCat dst_category

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil de dispositivo de destino (dst_profile) PanDstDeviceProf dst_profile

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo del dispositivo de destino (dst_model) PanDstDeviceModel dst_model

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor de dispositivos de destino (dst_vendor) PanDstDeviceVendor dst_vendor

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Familia de SO de los dispositivos de destino (dst_osfamily) PanDstDeviceOS dst_osfamily

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Versión del SO del dispositivo de destino (dst_osversion) PanDstDeviceOSv target.asset.software.version
Nombre de host de destino (dst_host) PanDstHostname target.hostname
Dirección MAC de destino (dst_mac) PanDstMac target.mac
ID del contenedor (container_id) PanContainerName container_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Espacio de nombres del POD (pod_namespace) PanPODNamespace pod_namespace

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del POD (pod_name) PanPODName pod_name

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de origen (src_edl) PanSrcEDL src_edl

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de destino (dst_edl) PanDstEDL dst_edl

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

ID de host (hostid) PanGPHostID hostid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Número de serie del dispositivo de usuario PanEPSerial principal.asset.hardware.serial_number
Grupo de direcciones dinámicas de origen (src_dag) PanSrcDAG principal.group.group_display_name
Grupo de direcciones dinámico de destino (dst_dag) PanDstDAG target.group.group_display_name
Propietario de la sesión (session_owner) PanHASessionOwner session_owner

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Marca de tiempo de alta resolución (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Un tipo de servicio de Slice (nsdsai_sst) PanASServiceType nsdsai_sst

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Un diferenciador de Slice (nsdsai_sd) PanASServiceDiff nsdsai_sd

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Subcategoría de la aplicación (subcategory_of_app) subcategory_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Categoría de aplicación (category_of_app) category_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tecnología de la aplicación (technology_of_app) technology_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Riesgo de la aplicación (risk_of_app) security_result.severity
Característica de la aplicación (characteristic_of_app) characteristic_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Contenedor de la aplicación (container_of_app) container_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

SaaS de aplicación (is_saas_of_app) is_saas_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Estado de aplicación sancionada (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Subcategoría de la aplicación (subcategory_of_app) subcategory_of_app1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

User-ID

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de ID de usuario y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) gato metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtype (Header) Subtipo metadata.product_event_type
Hora generada (time_generated o cef-formatted-time_generated) metadata.event_timestamp
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

IP de origen src src principal.ip
Usuario (user) ducha usrName target.user.userid

target.administrative_domain

target.user.email_addresses

Nombre de la fuente de datos (nombre de la fuente de datos) cs4 DataSourceName datasourcename

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

ID de evento (eventid) EventID eventid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Recuento de repetición (repetición) cnt RepeatCount repeatcnt

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Umbral de tiempo de espera agotado cn3 TimeoutThreshold tiempo de espera agotado

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Puerto de origen (beginport) spt srcPort principal.port
Puerto de destino (puerto final) dpt dstPort target.port
Fuente de datos (datasource) cs5 DataSource fuente de datos

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Tipo de fuente de datos (tipo de fuente de datos) cs6 DataSourceType datasourcetype

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
ID del sistema virtual (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Tipo de factor (factortype) cs1 FactorType factortype

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tiempo de finalización del factor (tiempo de finalización del factor) end FactorCompletionTime factorcompletiontime

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Número de factor (factorno) cn1 FactorNumber Factorno

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Marcas de grupos de usuarios (ugflags) PanOSUGFlags ugflags

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Usuario por fuente (userbysource) PanOSUserBySource principal.user.userid

principal.administrative_domain

principal.user.email_addresses

Marca de tiempo de alta resolución (marca de tiempo de alta resolución) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Coincidencia con HIP

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de coincidencia de HIP y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) gato metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtype (Header) Subtipo
Hora generada (time_generated o cef-formatted-time_generated) start startTime metadata.event_timestamp
Usuario de origen (srcuser) Suser usrName principal.user.userid
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre de la máquina (machinename) shost identHostName principal.hostname
Sistema operativo (SO) cs2 SO principal.asset.platform_software.platform
Dirección de origen (src) src identsrc principal.ip
HIP (matchname) gato HIP matchname

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Recuento de repetición (repetición) cnt RepeatCount repeatcnt

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tipo de HIP (tipo de concordancia) ID de clase de evento del dispositivo (encabezado) HIPType tipo de concordancia

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
ID del sistema virtual (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id
Dirección del sistema IPv6 (srcipv6) c6a2 srcipv6 principal.asset.ip
ID de host (hostid) PanOSHostID principal.asset.product_object_id
Número de serie del dispositivo del usuario (serialnumber) PanOSEndpointSerialNumber principal.asset.hardware.serial_number
Dirección MAC del dispositivo (mac) PanOSEndpointMac principal.asset.mac
Marca de tiempo de alta resolución (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (si no hay "Generate Time")

Etiqueta de IP

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de la etiqueta de IP y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) gato metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtype (Header) Subtipo metadata.product_event_type
Hora de generación (time_generated o cef-formatted-time_generated) GenerateTime metadata.event_timestamp
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

IP de origen src src principal.ip
Nombre de la etiqueta (tag_name) PanOSTagName TagName tag_name

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

ID de evento (event_id) PanOSEventID EventID event_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Recuento de repetición (repetición) cnt RepeatCount repeatcnt

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tiempo de espera PanOSTimeout TimeoutThreshold tiempo de espera agotado

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre de la fuente de datos (datasourcename) PanOSDataSourceName DataSourceName datasourcename

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Tipo de fuente de datos (datasource_type) PanOSDataSourceType DataSource datasource_type

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Subtipo de fuente de datos (pipeline_subtype) PanOSDataSourceSubType DataSourceType datasource_subtype

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOsVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
ID del sistema virtual (vsys_id) cn2 VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id
Marca de tiempo de alta resolución (marca_de_tiempo_alta_res) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (si no hay "Generate Time")

Desencriptación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de desencriptación y sus correspondientes campos de UDM.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time) rt metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie (serial) PanOSDeviceSN intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtipo (encabezado) metadata.product_event_type
Versión de configuración (config_ver) PanOSConfigVersion config_ver

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Hora de generación (time_generated) PanOSLogTimeStamp metadata.event_timestamp
Dirección de origen (src) src principal.ip
Dirección de destino (dst) DST target.ip
IP de origen de NAT (natsrc) sourceTranslatedAddress principa.nat_ip
IP de destino de NAT (natdst) destinationTranslatedAddress target.nat_ip
Regla (regla) cs1 security_result.rule_name
Usuario de origen (srcuser) suser principal.user.userid
Usuario de destino (dstuser) ducha target.user.userid
Aplicación (app) app target.application
Sistema virtual (vsys) cs3 vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de origen (desde) cs4 de

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de destino (hasta) cs5 a

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz entrante (inbound_if) deviceInboundInterface inbound_if

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz de salida (outbound_if) deviceOutboundInterface outbound_if

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Acción de registro (conjunto de registros) cs6 conjunto de registros

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Hora de registro (time_received) PanOSTimeReceivedManagementPlane -
ID de sesión (ID de sesión) cn1 network.session_id
Recuento de repetición (repetición) PanOSCountOfRepeats/RepeatCount repeatcnt

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Puerto de origen (sport) spt principal.port
Puerto de destino (dport) dpt target.port
Puerto de origen NAT (natsport) sourceTranslatedPort principal.nat_port
Puerto de destino de NAT (natdport) destinationTranslatedPort target.nat_port
Marcas flexString1 flags

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Protocolo IP (proto) protocolo network.ip_protocol
Acción actuar security_result.action_details

security_result.action

Túnel (túnel) PanOSTunnel túnel

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

UUID de la VM de origen (src_uuid) PanOSSourceUUID principal.asset.asset_id
UUID de la VM de destino (dst_uuid) PanOSDestinationUUID target.asset.asset_id
UUID de la regla (rule_uuid) PanOSRuleUUID security_result.rule_id
Etapa del cliente al firewall (hs_stage_c2f) PanOSClientToFirewall hs_stage_c2f

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Etapa de firewall a servidor (hs_stage_f2s) PanOSFirewallToServer hs_stage_f2s

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Versión de TLS (tls_version) PanOSTLSVersion network.tls.version
Algoritmo de intercambio de claves (tls_keyxchg) PanOSTLSKeyExchange tls_keyxchg

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Algoritmo de encriptación (tls_enc) PanOSTLSEncryptionAlgorithm tls_enc

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Algoritmo hash (tls_auth) PanOSTLSAuth tls_auth

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre de la política (policy_name) PanOSPolicyName policy_name

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Curva elíptica (ec_curve) PanOSEllipticCurve network.tls.curve
Índice de error (err_index) PanOSErrorIndex err_index

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Estado de raíz (root_status) PanOSRootStatus root_status

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Estado de la cadena (chain_status) PanOSChainStatus chain_status

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tipo de proxy (proxy_type) PanOSProxyType proxy_type

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Número de serie del certificado (cert_serial) PanOSCertificateSerial network.tls.server.certificate.serial
Huella digital del certificado PanOSFingerprint network.tls.server.certificate.md5/sha1/sha256
Fecha de inicio del certificado (notbefore) PanOSTimeNotBefore network.tls.server.certificate.not_before
Fecha de finalización del certificado (notafter) PanOSTimeNotAfter network.tls.server.certificate.not_after
Versión del certificado (cert_ver) PanOSCertificateVersion network.tls.server.certificate.version
Tamaño del certificado (cert_size) PanOSCertificateSize cert_size

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Longitud del nombre común (cn_len) PanOSCommonNameLength cn_len

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Longitud del nombre común de la entidad emisora (issuer_len) PanOSIssuerNameLength issuer_len

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Longitud del nombre común raíz (rootcn_len) PanOSRootCNLength rootcn_len

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Longitud de SNI (sni_len) PanOSSNILength sni_len

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Marcas de certificado (cert_flags) PanOSCertificateFlags cert_flags

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre común del asunto (CN) PanOSCommonName cn

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre común de la entidad emisora (issuer_cn) PanOSIssuerCommonName network.tls.server.certificate.issuer
Nombre común raíz (root_cn) PanOSRootCommonName root_cn

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Indicación del nombre del servidor

(sni)

network.tls.client.server_name
Error (error) PanOSErrorMessage error

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID del contenedor (container_id) PanOSContainerID container_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Espacio de nombres del POD (pod_namespace) PanOSContainerNameSpace pod_namespace

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del Pod (pod_name) PanOSContainerName pod_name

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de origen (src_edl) PanOSSourceEDL src_edl

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de destino (dst_edl) PanOSDestinationEDL dst_edl

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Grupo de direcciones dinámicas de origen (src_dag) PanOSSourceDynamicAddressGroup principal.group.group_display_name
Grupo de direcciones dinámico de destino (dst_dag) PanOSDestinationDynamicAddressGroup target.group.group_display_name
Marca de tiempo de alta resolución (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (si no hay "Generate Time")

Categoría del dispositivo de origen (src_category) PanOSSourceDeviceCategory src_category

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil del dispositivo de origen (src_profile) PanOSSourceDeviceProfile src_profile

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo del dispositivo de origen (src_model) PanOSSourceDeviceModel src_model

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor del dispositivo de origen (src_vendor) PanOSSourceDeviceVendor src_vendor

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Familia del SO del dispositivo de origen (src_osfamily) PanOSSourceDeviceOSFamily

principal.asset.platform_software.platform

principal.labels.key y principal.labels.value

Versión de SO del dispositivo de origen (src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
Nombre de host de origen (src_host) PanOSSourceDeviceHost principal.hostname
Dirección MAC de origen (src_mac) PanOSSourceDeviceMac principal.mac
Categoría del dispositivo de destino (dst_category) PanOSDestinationDeviceCategory dst_category

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil de dispositivo de destino (dst_profile) PanOSDestinationDeviceProfile dst_profile

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo de dispositivo de destino (dst_model) PanOSDestinationDeviceModel dst_model

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor de dispositivos de destino (dst_vendor) PanOSDestinationDeviceVendor dst_vendor

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Familia de SO de los dispositivos de destino (dst_osfamily) PanOSDestinationDeviceOSFamily dst_osfamily

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Versión del SO del dispositivo de destino (dst_osversion) PanOSDestinationDeviceOSVersion target.asset.software.version
Nombre de host de destino (dst_host) PanOSDestinationDeviceHost target.hostname
Dirección MAC de destino (dst_mac) PanOSDestinationDeviceMac target.mac
Número de secuencia (seqno) PanOSLogTypeSeqNo metadata.product_log_id
Marcas de acción PanOSActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_1) DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_2) DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_3) DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) intermediary.hostname
ID del sistema virtual (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Subcategoría de aplicación (subcategory_of_app) subcategory_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Categoría de aplicación (category_of_app) category_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tecnología de la aplicación (technology_of_app) technology_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Riesgo de la aplicación (risk_of_app) security_result.severity
Característica de la aplicación (characteristic_of_app) characteristic_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Contenedor de la aplicación (container_of_app) container_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

SaaS de aplicación (is_saas_of_app) is_saas_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Estado de aplicación sancionada (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Túnel

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de túnel y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) gato metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtype (Header) Subtipo metadata.product_event_type
Hora generada (time_generated o cef-formatted-time_generated) metadata.event_timestamp
Dirección de origen (src) src src principal.ip
Dirección de destino (dst) DST DST target.ip
IP de origen de NAT (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
IP de destino de NAT (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
Nombre de la regla (rule) cs1 RuleName security_result.rule_name
Usuario de origen (srcuser) Suser SourceUser / usrName principal.user.userid
Usuario de destino (dstuser) ducha DestinationUser target.user.userid
Aplicación (app) app Aplicación network.application_protocol
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de origen (desde) cs4 SourceZone de

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de destino (hasta) cs5 DestinationZone a

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz entrante (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz de salida (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Acción de registro (conjunto de registros) cs6 LogForwardingProfile conjunto de registros

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión (sessionid) cn1 SessionID network.session_id
Recuento de repetición (repetición) cnt RepeatCount repeatcnt

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Puerto de origen (sport) spt srcPort principal.port
Puerto de destino (dport) dpt dstPort target.port
Puerto de origen NAT (natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
Puerto de destino de NAT (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
Marcas flexString1 Marcas flags

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Protocolo IP (proto) protocolo protocolo network.ip_protocol
Acción actuar acción security_result.action_details

security_result.action

Gravedad security_result.severity y security_result.severity_details
Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Ubicación de la fuente (srcloc) principal.location.country_or_region
Ubicación de destino (dstloc) target.location.country_or_region
Jerarquía del grupo de dispositivos (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
ID de túnel (tunnelid) PanOSTunnelID TunnelID tunnelid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Etiqueta de supervisión (monitortag) PanOSMonitorTag MonitorTag monitortag

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión superior (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
Hora de inicio del elemento superior (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tipo de túnel (túnel) cs2 TunnelType túnel

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Bytes (bytes) flexNumber1 totalBytes bytes

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Bytes enviados (bytes_sent) en srcBytes network.sent_bytes
Bytes recibidos (bytes_received) Salida dstBytes network.received_bytes
Paquetes (paquetes) cn2 totalPackets paquetes

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Paquetes enviados (pkts_sent) PanOSPacketsSent srcPackets pkts_sent

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Paquetes recibidos (pkts_received) PanOSPacketsReceived dstPackets pkts_received

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Encapsulamiento máximo (max_encap) flexNumber2 MaximumEncapsulation max_encap

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Protocolo desconocido (unknown_proto) cfp1 UnknownProtocol unknown_proto

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Verificación estricta (strict_check) cfp2 StrictChecking strict_check

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Fragmento de túnel (tunnel_fragment) PanOSTunnelFragment TunnelFragment tunnel_fragment

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Sesiones creadas (sessions_created) cfp3 SessionsCreated sessions_created

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Sesiones cerradas (sessions_closed) cfp4 SessionsClosed sessions_closed

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Motivo de finalización de la sesión (session_end_reason) Reason SessionEndReason security_result.summary
Fuente de la acción (action_source) gato ActionSource action_source

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Hora de inicio (inicio) startTime start

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tiempo transcurrido (transcurrido) cn3 ElapsedTime transcurrido network.session_duration.seconds
Regla de inspección de túnel (tunnel_insp_rule) PanOSTunneInspectionRule security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
IP de usuario remoto (remote_user_ip) PanOSRmtUserIP target.ip
ID de usuario remoto (remote_user_id) PanOSRmtUserID remote_user_id

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

UUID de la regla de seguridad (rule_uuid) PanOSRuleUUID security_result.rule_id
ID de PCAP (pcap_id) PanOSPcapID pcap_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre dinámico del grupo de usuarios (dynusergroup_name) PanDynamicUsrgrp principal.group.group_display_name
Lista dinámica externa de origen (src_edl) PanOSSourceEDL src_edl

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de destino (dst_edl) PanOSDestinationEDL dst_edl

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Marca de tiempo de alta resolución (marca de tiempo de alta resolución) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (si no hay "Generate Time")

Diferenciador de Slice (nssai_sd) nssai_sd

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Un tipo de servicio de Slice (nssai_sd) nssai_sd1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión de la PDU (pdu_session_id) pdu_session_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Subcategoría de la aplicación (subcategory_of_app) subcategory_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Categoría de aplicación (category_of_app) category_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tecnología de la aplicación (technology_of_app) technology_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Riesgo de la aplicación (risk_of_app) risk_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Característica de la aplicación (characteristic_of_app) characteristic_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Contenedor de la aplicación (container_of_app) container_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

SaaS de aplicación (is_saas_of_app) is_saas_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Estado de aplicación sancionada (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Autenticación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de autenticación y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) gato metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtype (Header) Subtipo metadata.product_event_type
Hora generada (time_generated o cef-formatted-time_generated) metadata.event_timestamp
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

IP de origen src src principal.ip
Usuario (user) ducha usrName target.user.userid
Normalizar usuario (normalize_user) cs2 NormalizeUser target.user.user_display_name
Objeto (objeto) fname ObjectName objeto

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Política de autenticación (authpolicy) cs4 AuthPolicy authpolicy

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Recuento de repetición (repetición) cnt RepeatCount repeatcnt

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de autenticación (authid) cn2 AuthenticationID authid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor flexString2 Proveedor vendor

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Acción de registro (conjunto de registros) cs6 LogForwardingProfile conjunto de registros

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil del servidor (perfil del servidor) cs1 ServerProfile serverprofile

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Descripción (en orden descendente) PanOSDesc AdditionalAuthInfo security_result.description
Tipo de cliente (clienttype) cs5 ClientType clienttype

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tipo de evento (evento) msg msg extensions.auth.auth_details
Número de factor (factorno) cn1 FactorNumber Factorno

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
ID del sistema virtual (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id
Protocolo de autenticación (authproto) authproto

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

UUID de la regla (rule_uuid) PanOSRuleUUID/RuleUUID security_result.rule_id
Marca de tiempo de alta resolución (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (si no hay "Generate Time")

Categoría del dispositivo de origen (src_category) PanOSSourceDeviceCategory src_category

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil del dispositivo de origen (src_profile) PanOSSourceDeviceProfile src_profile

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo del dispositivo de origen (src_model) PanOSSourceDeviceModel src_model

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor del dispositivo de origen (src_vendor) PanOSSourceDeviceVendor src_vendor

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Familia del SO del dispositivo de origen (src_osfamily) PanOSSourceDeviceOSFamily

principal.asset.platform_software.platform

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Versión de SO del dispositivo de origen (src_osversion) PanOSSourceDeviceOSVersion principal.asset.software.version
Nombre de host de origen (src_host) PanOSSourceHostname principal.hostname
Dirección MAC de origen (src_mac) PanOSSourceMac principal.asset.mac
Región (región) PanOSTrafficOriginRegion principal.location.country_or_region
Usuario-agente (user_agent) PanOSHTTPUserAgent network.http.user_agent
ID de sesión(ID de sesión) PanOSTrafficSessionID network.session_id

URL

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de URL y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie (serie) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) gato metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtype (Header) Subtipo metadata.product_event_type
Hora de generación metadata.event_timestamp
Dirección de origen (src) src src principal.ip
Dirección de destino (dst) DST DST target.ip
IP de origen de NAT (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
IP de destino de NAT (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
Regla (regla) cs1 RuleName security_result.rule_name
Usuario de origen (srcuser) suser SourceUser principal.user.userid
Usuario de destino (dstuser) ducha DestinationUser target.user.userid
Aplicación (app) app Aplicación network.application_protocol
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de origen (desde) cs4 SourceZone de

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de destino (hasta) cs5 DestinationZone a

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz entrante (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz de salida (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Acción de registro (conjunto de registros) cs6 LogForwardingProfile conjunto de registros

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Hora de registro time_logged

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión (sessionid) cn1 SessionID network.session_id
Recuento de repetición (repetición) cnt RepeatCount repeatcnt

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Puerto de origen (sport) spt srcPort principal.port
Puerto de destino (dport) dpt dstPort target.port
Puerto de origen NAT (natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
Puerto de destino de NAT (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
Marcas flexString1 Marcas flags

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Protocolo IP (proto) protocolo protocolo network.ip_protocol
Acción actuar acción security_result.action_details

security_result.action

URL/Nombre de archivo (varios) Varios target.file.full_path

target.url

Nombre de contenido o amenaza (Threatid) gato ThreatID security_result.threat_id
Categoría (category) cs2 URLCategory category

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Gravedad number-of-severity (encabezado) Gravedad security_result.severity

security_result.severity_details

Dirección flexString2 Dirección network.direction
Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

País de origen (srcloc) SourceLocation principal.location.country_or_region
País de destino (dstloc) DestinationLocation target.location.country_or_region
tipodecontenido requestContext ContentType contenttype

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

pcap_id (id de pcap_id) ID del archivo PCAP_ID pcap_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

filedigest (resumen de archivos) FileDigest acerca del archivo.sha1/md5/sha256
nube (cloud) Nube nube

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

url_idx (url_idx) URLIndex url_idx

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

user_agent (user_agent) requestClientApplication UserAgent network.http.user_agent
tipo de archivo (tipo de archivo) about.file.mime_type
xff (xff) PanOSXForwarderfor identSrc xff

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

URL de referencia PanOSReferer Referencia network.http.referral_url
remitente (sender) network.email.from
asunto Asunto network.email.subject
destinatario network.email.to
reportid (ID de informe) reportid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía de la DG, nivel 1 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nivel 2 de la jerarquía de la DG (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía de DG, nivel 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía de DG, nivel 4 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
file_url (file_url) about.url
UUID de la VM de origen (src_uuid) SrcUUID principal.asset.asset_id
UUID de la VM de destino (dst_uuid) DstUUID target.asset.asset_id
http_method (http_method) requestMethod RequestMethod network.http.method
ID de túnel/IMSI (tunnelid) PanOSTunnelID TunnelID tunnelid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Supervisar Tag/IMEI (monitortag) PanOSMonitorTag MonitorTag monitortag

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión superior (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
Hora de inicio de la sesión principal (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Túnel (túnel) PanOSTunnelType TunnelType túnel

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

thr_category (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
contentver (contentver) PanOSContentVer ContentVer Contentver

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

sig_flags (sig_flags) sig_flags

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de asociación de SCTP (assoc_id) PanOSAssocID assoc_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de protocolo de carga útil (ppid) PanOSPPID ppid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

http_headers (http_headers) PanOSHTTPHeader http_headers

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Lista de categorías de URL (url_category_list) PanOSURLCatList url_category_list

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

UUID para la regla (rule_uuid) PanOSRuleUUID rule_uuid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Conexión HTTP/2 (http2_connection) PanOSHTTP2Con http2_connection

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

dynusergroup_name (nombre_grupo_usuarios) PanDynamicUsrgrp dynusergroup_name

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Dirección XFF (xff_ip) PanXFFIP principal.ip
Categoría del dispositivo de origen (src_category) PanSrcDeviceCat src_category

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil del dispositivo de origen (src_profile) PanSrcDeviceProf src_profile

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo del dispositivo de origen (src_model) PanSrcDeviceModel src_model

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor del dispositivo de origen (src_vendor) PanSrcDeviceVendor src_vendor

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Familia del SO del dispositivo de origen (src_osfamily) PanSrcDeviceOS

principal.asset.platform_software.platform

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Versión del SO del dispositivo de origen (src_osversion) PanSrcDeviceOSv principal.asset.software.version
Nombre de host de origen (src_host) PanSrcHostname src_host

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Dirección MAC de origen (src_mac) PanSrcMac principal.mac
Categoría del dispositivo de destino (dst_category) PanDstDeviceCat dst_category

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil de dispositivo de destino (dst_profile) PanDstDeviceProf dst_profile

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo del dispositivo de destino (dst_model) PanDstDeviceModel dst_model

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor de dispositivos de destino (dst_vendor) PanDstDeviceVendor dst_vendor

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Familia de SO de los dispositivos de destino (dst_osfamily) PanDstDeviceOS target.asset.platform_software.platform

target.labels.key y target.labels.value

Versión del SO del dispositivo de destino (dst_osversion) PanDstDeviceOSv target.asset.software.version
Nombre de host de destino (dst_host) PanPODNamespace target.hostname
Dirección MAC de destino (dst_mac) PanDstMac target.mac
ID del contenedor (container_id) PanContainerName container_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Espacio de nombres del POD (pod_namespace) PanPODNamespace pod_namespace

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del POD (pod_name) PanPODName pod_name

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de origen (src_edl) PanSrcEDL src_edl

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de destino (dst_edl) PanDstEDL dst_edl

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

ID de host (hostid) PanGPHostID hostid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Número de serie PanEPSerial principal.asset.hardware.serial_number
dominio_edl (domain_edl) PanDomainEDL domain_edl

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Grupo de direcciones dinámicas de origen (src_dag) PanSrcDAG principal.group.group_display_name
Grupo de direcciones dinámico de destino (dst_dag) PanDstDAG target.group.group_display_name
parcial_hash (partial_hash) PanPartialHash partial_hash

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Marca de tiempo de alta resolución (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Motivo (reason) PanReasonFilteringAction Reason

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

justificación (justificación) PanJustification justificación

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

nssai_sst (nssai_sst) PanASServiceType nssai_sst

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Subcategoría de la aplicación (subcategory_of_app) subcategory_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Categoría de la app (category_of_app) category_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tecnología de la app (technology_of_app) technology_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Riesgo de la app (risk_of_app) risk_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Característica de la app (characteristic_of_app) characteristic_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Contenedor de la aplicación (container_of_app) container_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Aplicación tunelizada (tunneled_app) tunneled_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

SaaS de la app (is_saas_of_app) is_saas_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Estado de la app sancionada (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Datos

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de datos y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (cef-formatted-receive_time) rt devTime metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Número de serie (serie) deviceExternalId SerialNumber intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) gato metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtype (Header) Subtipo metadata.product_event_type
Hora de generación metadata.event_timestamp
Dirección de origen (src) src src principal.ip
Dirección de destino (dst) DST DST target.ip
IP de origen de NAT (natsrc) sourceTranslatedAddress srcPostNAT principal.nat_ip
IP de destino de NAT (natdst) destinationTranslatedAddress dstPostNAT target.nat_ip
Regla (regla) cs1 RuleName security_result.rule_name
Usuario de origen (srcuser) suser SourceUser principal.user.userid
Usuario de destino (dstuser) ducha DestinationUser target.user.userid
Aplicación (app) app Aplicación network.application_protocol
Sistema virtual (vsys) cs3 VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de origen (desde) cs4 SourceZone de

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Zona de destino (hasta) cs5 DestinationZone a

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz entrante (inbound_if) deviceInboundInterface IngressInterface inbound_if

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Interfaz de salida (outbound_if) deviceOutboundInterface EgressInterface outbound_if

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Acción de registro (conjunto de registros) cs6 LogForwardingProfile conjunto de registros

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Hora de registro time_logged

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión (sessionid) cn1 SessionID network.session_id
Recuento de repetición (repetición) cnt RepeatCount repeatcnt

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Puerto de origen (sport) spt srcPort principal.port
Puerto de destino (dport) dpt dstPort target.port
Puerto de origen NAT (natsport) sourceTranslatedPort srcPostNATPort principal.nat_port
Puerto de destino de NAT (natdport) destinationTranslatedPort dstPostNATPort target.nat_port
Marcas flexString1 Marcas flags

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Protocolo IP (proto) protocolo protocolo network.ip_protocol
Acción actuar acción security_result.action_details

security_result.action

URL/Nombre de archivo (varios) Varios target.file.full_path

target.url

Nombre de contenido o amenaza (Threatid) gato ThreatID security_result.threat_id
Categoría (category) cs2 URLCategory category

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Gravedad number-of-severity (encabezado) Gravedad security_result.severity

security_result.severity_details

Dirección flexString2 Dirección network.direction
Número de secuencia (seqno) externalId secuencia metadata.product_log_id
Marcas de acción PanOSActionFlags ActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

País de origen (srcloc) SourceLocation principal.location.country_or_region
País de destino (dstloc) DestinationLocation target.location.country_or_region
contenttype (contenttype) ContentType contenttype

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

pcap_id (id de pcap_id) ID del archivo PCAP_ID pcap_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

filedigest (resumen de archivos) FileDigest acerca del archivo.sha1/md5/sha256
nube (cloud) Nube nube

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

url_idx (url_idx) URLIndex url_idx

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

user_agent (user_agent) network.http.user_agent
tipo de archivo (tipo de archivo) about.file.mime_type
xff (xff) xff

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

referer (referencia) network.http.referral_url
remitente (sender) network.email.from
asunto Asunto network.email.subject
destinatario network.email.to
reportid (ID de informe) reportid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía de la DG, nivel 1 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nivel 2 de la jerarquía de la DG (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía de DG, nivel 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía de DG, nivel 4 (dg_hier_level_4) PanOSDGl4 DeviceGroupHierarchyL4 dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) PanOSVsysName vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) dvchost DeviceName intermediary.hostname
file_url (file_url) about.url
UUID de la VM de origen (src_uuid) SrcUUID principal.asset.asset_id
UUID de la VM de destino (dst_uuid) DstUUID target.asset.asset_id
http_method (http_method) RequestMethod network.http.method
ID de túnel/IMSI (tunnelid) PanOSTunnelID TunnelID tunnelid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Supervisar Tag/IMEI (monitortag) PanOSMonitorTag MonitorTag monitortag

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de sesión superior (parent_session_id) PanOSParentSessionID ParentSessionID parent_session_id network.parent_session_id
Hora de inicio de la sesión principal (parent_start_time) PanOSParentStartTime ParentStartTime parent_start_time

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Túnel (túnel) PanOSTunnelType TunnelType túnel

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

thr_category (thr_category) PanOSThreatCategory ThreatCategory thr_category security_result.detection_fields.key/value
contentver (contentver) PanOSContentVer ContentVer Contentver

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

sig_flags (sig_flags) sig_flags

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de asociación de SCTP (assoc_id) PanOSAssocID assoc_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de protocolo de carga útil (ppid) PanOSPPID ppid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

http_headers (http_headers) PanOSHTTPHeader http_headers

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Lista de categorías de URL (url_category_list) url_category_list

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

UUID para la regla (rule_uuid) PanOSRuleUUID rule_uuid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Conexión HTTP/2 (http2_connection) http2_connection

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

dynusergroup_name (nombre_grupo_usuarios) dynusergroup_name

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Dirección XFF (xff_ip) principal.ip
Categoría del dispositivo de origen (src_category) src_category

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil de dispositivo de origen (src_profile) src_profile

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo del dispositivo de origen (src_model) src_model

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor de dispositivos de origen (src_vendor) src_vendor

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Familia de SO del dispositivo de origen (src_osfamily)

principal.asset.platform_software.platform

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Versión del SO del dispositivo de origen (src_osversion) principal.asset.software.version
Nombre de host de origen (src_host) src_host

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Dirección MAC de origen (src_mac) principal.mac
Categoría de dispositivo de destino (dst_category) dst_category

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Perfil de dispositivo de destino (dst_profile) dst_profile

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Modelo de dispositivo de destino (dst_model) dst_model

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Proveedor del dispositivo de destino (dst_vendor) dst_vendor

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

Familia del SO del dispositivo de destino (dst_osfamily) target.asset.platform_software.platform

target.labels.key y target.labels.value

Versión del SO del dispositivo de destino (dst_osversion) target.asset.software.version
Nombre de host de destino (dst_host) target.hostname
Dirección MAC de destino (dst_mac) target.mac
ID del contenedor (container_id) container_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Espacio de nombres del Pod (pod_namespace) pod_namespace

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del Pod (pod_name) pod_name

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de origen (src_edl) src_edl

principal.labels.key y principal.labels.value

additional.fields.key y additional.fields.value.string_value

Lista dinámica externa de destino (dst_edl) dst_edl

target.labels.key y target.labels.value

additional.fields.key y additional.fields.value.string_value

ID de host (hostid) hostid

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Número de serie (serialnumber) principal.asset.hardware.serial_number
dominio_edl (domain_edl) domain_edl

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Grupo de direcciones dinámicas de origen (src_dag) principal.group.group_display_name
Grupo de direcciones dinámicas de destino (dst_dag) target.group.group_display_name
partial_hash (partial_hash) partial_hash

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Marca de tiempo de alta resolución (high_res_timestamp) metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Motivo (reason) Reason

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

justificación justificación

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

nssai_sst (nssai_sst) nssai_sst

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Subcategoría de la aplicación (subcategory_of_app) subcategory_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Categoría de la app (category_of_app) category_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tecnología de la app (technology_of_app) technology_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Riesgo de la app (risk_of_app) risk_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Característica de la app (characteristic_of_app) characteristic_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Contenedor de la aplicación (container_of_app) container_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Aplicación tunelizada (tunneled_app) tunneled_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

SaaS de la app (is_saas_of_app) is_saas_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Estado de la app sancionada (sanctioned_state_of_app) sanctioned_state_of_app

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

GlobalProtect

En la siguiente tabla, se enumeran los campos de registro del tipo de registro GlobalProtect y sus correspondientes campos de UDM.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de recepción (receive_time) rt received_time metadata.event_timestamp
Número de serie (serial) PanOSDeviceSN intermediary_asset_hardware_serial_number intermediary.asset.hardware.serial_number
Tipo (type) tipo (encabezado) metadata.product_event_type
Amenaza/tipo de contenido (subtipo) subtype (Header) Subtipo metadata.product_event_type
Hora de generación (time_generated) PanOSLogTimeStamp generated_timestamp metadata.event_timestamp
Sistema virtual (vsys) PanOSVirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

ID de evento (eventid) PanOSEventID event_id

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Etapa (etapa) PanOSStage de este proceso,

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Método de autenticación (auth_method) PanOSAuthMethod extension_auth_auth_details extensions.auth.auth_details
Tipo de túnel (tunnel_type) PanOSTunnelType túnel

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Usuario de origen (srcuser) PanOSSourceUserName src_user principal.user.email_address

principal.user.userid

principal.administrative_domain

Región de origen (srcregion) PanOSSourceRegion src_region principal.location.country_or_region
Nombre de la máquina (machinename) PanOSEndpointDeviceName machine_name principal.hostname
IP pública (public_ip) PanOSPublicIPv4 principal.nat_ip
IPv6 pública (public_ipv6) PanOSPublicIPv6 principal.nat_ip
IP privada (private_ip) PanOSPrivateIPv4 principal.ip
IPv6 privado (private_ipv6) PanOSPrivateIPv6 principal.ip
ID de host (hostid) PanOSHostID hostid principal.asset.asset_id
Número de serie (serialnumber) PanOSDeviceSN principal.asset.hardware.serial_number
Versión del cliente (client_ver) PanOSGlobalProtectClientVersion client_ver

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

SO del cliente (client_os) PanOSEndpointOSType principal.asset.platform_software.platform(enum)
Versión del SO del cliente (client_os_ver) PanOSEndpointOSVersion principal.asset.platform_software.platform_version
Cantidad de repeticiones (repeatcnt) PanOSCountOfRepeats repetido

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Motivo (reason) PanOSQuarantineReason security_result.summary
Error (error) PanOSConnectionError error security_result.description
Descripción (opaco) PanOSDescription security_result.description
Estado PanOSEventStatus estado

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Ubicación (ubicación) PanOSGPGatewayLocation target.location.country_or_region
Duración del acceso (login_duration) PanOSLoginDuration network.session_duration
Método de conexión (connect_method) PanOSConnectionMethod connect_method

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Código de error (error_code) PanOSConnectionErrorID error_code

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Portal PanOSPortal portal

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Número de secuencia (seqno) PanOSSequenceNo metadata.product_log_id
Marcas de acción PanOSActionFlags marcas de acción

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Marca de tiempo de alta resolución (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp,

metadata.event_timestamp (si la opción "Generate Time" está ausente)

Método de selección de la puerta de enlace (selection_type) PanOSGatewaySelectionType selection_type

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Tiempo de respuesta de SSL (response_time) PanOSSSLResponseTime response_time

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Prioridad de la puerta de enlace (priority) PanOSGatewayPriority priority

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Puertas de enlace intentadas (attempted_gateways) PanOSAttemptedGateways attempted_gateways

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre de la puerta de enlace (puerta de enlace) PanOSAttemptedGateways puerta de enlace

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_1) dg_hier_level_1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_2) dg_hier_level_2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_3) dg_hier_level_3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Jerarquía del grupo de dispositivos (dg_hier_level_4) dg_hier_level_4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) target.hostname
ID del sistema virtual (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id

Correlación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correlación y sus campos de UDM correspondientes.

Campo CSV Campo CEF Campo LEEF Clave de etiqueta de Google Security Operations Campo de UDM
Hora de generación (time_generated o cef-formatted-time_generated) startTime generated_timestamp metadata.event_timestamp
Dirección de origen (src) src principal.ip
Usuario de origen (srcuser) SourceUser / usrName principal.user.userid
Sistema virtual (vsys) VirtualSystem vsys

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Categoría (category) security_result.category_details
Gravedad (severity) Gravedad security_result.severity y security_result.severity_details
Nivel 1 de la jerarquía de grupos de dispositivos DeviceGroupHierarchyL1

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nivel 2 de la jerarquía del grupo de dispositivos DeviceGroupHierarchyL2

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nivel 3 de la jerarquía de grupos de dispositivos DeviceGroupHierarchyL3

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nivel de jerarquía del grupo de dispositivos 4 DeviceGroupHierarchyL4

about.labels.key y about.labels.value

additional.fields.key y additional.fields.value.string_value

Nombre del sistema virtual (vsys_name) vSrcName principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nombre del dispositivo (device_name) DeviceName intermediary.hostname
ID del sistema virtual (vsys_id) VirtualSystemID principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Nombre del objeto (objectname) ObjectName target.resource.name
ID de objeto (object_id) ObjectID target.resource.product_object_id

Referencia de asignación de campos: Tipos de registro a tipo de evento de la AUA

En la siguiente tabla, se enumeran los tipos de registros de firewall de Palo Alto Networks y sus correspondientes tipos de eventos de UDM.

Tipo de registro Tipo de evento de la AUA
Tráfico NETWORK_CONNECTION
Amenaza NETWORK_CONNECTION
Filtrado de URLs NETWORK_CONNECTION
WildFire NETWORK_CONNECTION

Los registros de envío de WildFire son un subtipo de tipo de registro de amenazas y usan los mismos syslog.

Filtrado de datos NETWORK_CONNECTION
Túnel NETWORK_CONNECTION
Configuración SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED

El valor del campo "Command (cmd)" determina la asignación del tipo de evento de la AUA. Si el valor del campo cmd es add o clone, se establece SETTING_CREATION.

Si se borra el valor del campo cmd, se establece SETTING_DELETION.

Si el valor del campo cmd es editar, mover, cambiar el nombre, establecer o confirmar, Se estableció SETTING_MODIFICATION.

Si el valor del campo cmd no contiene ningún valor, entonces SETTING_UNCATEGORIZED esté establecida.

Sistema

Si el valor del subtipo es "dhcp", se establece NETWORK_DHCP.

Si el valor del subtipo es "auth", entonces se establece USER_ACCESS.

Si el valor de la descripción es “accedido”, se establece USER_ACCESS.

Si el valor de la descripción es "salió de la cuenta", se establece USER_LOGOUT.

Para otros valores del subtipo, se establece GENERIC_EVENT.

Coincidencia con HIP NETWORK_CONNECTION
Etiqueta de IP GENERIC_EVENT
User-ID USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED

Si el valor del subtipo es "login", se establece USER_LOGIN.

Si el valor del subtipo es "logout", se establece USER_LOGOUT.

Si el subtipo no contiene ningún valor, se establece USER_UNCATEGORIZED.

Desencriptación NETWORK_CONNECTION
Autenticación GENERIC_EVENT

¿Qué sigue?