Recopila registros de firewall de Palo Alto Networks
Descripción general
En este documento, se describe cómo configurar syslog y un reenviador de Google Security Operations para recopilar registros del firewall de Palo Alto Networks. En este documento, también se explica cómo los campos de registro del firewall de Palo Alto Networks se asignan a los campos del modelo de datos unificado (UDM) de Google Security Operations.
Para obtener una descripción general de la transferencia de datos a Google Security Operations, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato de UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia PAN_FIREWALL.
Antes de comenzar
Para comprender los componentes implementados para recopilar el firewall de Palo Alto Networks y registros del sistema, revisa la arquitectura de implementación. Cada implementación de cliente puede ser diferente de esta representación y podría ser más compleja.
En el siguiente diagrama, se muestra cómo configurar syslog en una instancia de Palo Alto Networks firewall e instalarás un servidor de reenvío de Google Security Operations en un servidor Linux para reenviar datos a Google Security Operations. El analizador admite registros escritos en el siguiente formatos de datos: valores separados por comas (CSV), formato de evento común (CEF) y Formato extendido de eventos de registro (LEEF).
Verifica los formatos de registro y las versiones de PAN-OS que usa el analizador de Google Security Operations admite. En la siguiente tabla, se enumeran los formatos de registro y los PAN-OS correspondientes compatibles con el analizador de Google Security Operations:
Formato de registro Versión de PAN-OS CSV 10.1.3 CEF 10.0.0 LEEF 9.1.0 Verifica los tipos de registros de firewall de Palo Alto Networks que admite el analizador de Google Security Operations. El analizador de Google Security Operations admite los siguientes tipos de registros de firewall de Palo Alto Networks:
- Tráfico
- Amenaza
- Envíos de WildFire
- Inspección de túneles
- Configuración
- Sistema
- Coincidencia con HIP
- Etiqueta de IP
- User-ID
- Desencriptación
- Autenticación
- Filtros de URL
- Filtrado de datos
- GlobalProtect
- Correlación
Para obtener más información sobre los tipos de registros de firewall de Palo Alto Networks, consulta Tipos de registros de PAN-OS.
Asegúrate de que todos los sistemas en la arquitectura de implementación estén configurados en la zona horaria UTC.
Antes de usar el analizador de firewall de Palo Alto Networks, revisa los cambios en las asignaciones de campos entre el analizador anterior y el analizador de firewall de Palo Alto Networks actual. Como parte de la migración, asegúrate de que las reglas, las búsquedas los paneles u otros procesos que dependen de los campos originales usan los campos actualizados.
Por ejemplo, en la versión anterior del analizador, el campo de registro
category
se asigna al Campo de UDMsecurity_result.description
. En el analizador de firewall de Palo Alto Networks actual, el campo de registrocategory
se asigna al campo UDMsecurity_result.category_details
. Si migras al analizador de firewall actual de Palo Alto Networks y usas el campocategory
en tus reglas, haz lo siguiente: Debes modificar las reglas para usar el campo UDMsecurity_result.category_details
del analizador actual.
Configura syslog y el servidor de reenvío de Google Security Operations
Para configurar el syslog y el reenviador de Google Security Operations, completa los siguientes pasos:
Para supervisar los registros de CSV, configura el perfil del servidor syslog. Para obtener más información, consulta Configura el perfil del servidor de syslog.
Cuando configures el perfil del servidor de syslog, especifica "Predeterminado" como el formato de registro personalizado.
Para supervisar los registros de CEF, configura el firewall de Palo Alto Networks para que reenvíe los registros de CEF. Para obtener más información, descarga el PDF de la guía de integración de CEF de PAN-OS y consulta la sección "Configuración del NGFW de Palo Alto Networks para generar eventos de CEF".
Para supervisar los registros de LEEF, configura el perfil del servidor syslog. Para obtener más información, consulta Reenvío de registros personalizado en formato LEEF.
Configura el reenviador de Google Security Operations para enviar registros a Google Security Operations. Para obtener más información, consulta Instala y configura el reenviador en Linux. A continuación, se muestra un ejemplo de la configuración de un reenviador de Google Security Operations:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Referencia de asignación de campos: campos de registros de firewall de PAN a campos UDM
En esta sección, se explica cómo el analizador asigna los campos de registro del firewall de Palo Alto Networks a los campos de eventos de la UDM de Google Security Operations para cada tipo de registro.
La clave de etiqueta de Google Security Operations hace referencia al nombre de la clave asignada al campo UDM de Labels.key. Por ejemplo, en el caso del “sistema virtual” , el nombre del campo es "cs3" en CEF y es “VirtualSystem” en formato LEEF. El campo de UDM "about.labels.key" contiene el valor "vsys" y el campo de UDM "about.labels.value" contiene el valor de ese campo.
Algunos de los nombres de los campos CEF o LEEF no tienen un nombre que corresponda al archivo CSV en los nombres de campo. En esos casos, si agregas tu propio nombre de variable en formato de registro personalizado en el perfil de syslog, el analizador no lo asigna al campo UDM.
Consulta las siguientes secciones para obtener referencias de la asignación de cada tipo de registro:
- Sistema
- Configuración
- Amenaza o incendio
- Tráfico
- ID de usuario
- Coincidencia de HIP
- Etiqueta de IP
- Desencriptación
- Túnel
- Authentication
- URL
- Datos
- GlobalProtect
- Correlación
Sistema
En la siguiente tabla, se enumeran los campos de registro del tipo de registro del sistema y sus correspondientes campos de UDM.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | gato | metadata.product_event_type está configurado como "%{type} - %{subtype}". | |
Tipo de amenaza o contenido (subtipo) | subtype (Header) | Subtipo | metadata.product_event_type se establece en "%{type} - %{subtype}". | |
Hora generada (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de evento (eventid) | gato | eventid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Objeto (objeto) | fname | Nombre del archivo | objeto | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Módulo (módulo) | flexString2 | Módulo | module | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Gravedad (severity) | $number-of-severity(header) | Gravedad | security_result.severity y security_result.severity_details | |
Descripción (opaco) | msg | msg | metadata.description | |
principal_user_userid (este campo se extrae del campo msg) | principal.user.userid | |||
principal_ip3 (este campo se extrae del campo msg) | principal.ip | |||
Motivo (este campo se extrae del campo msg) | security_result.description | |||
server_address (este campo se extrae del campo msg) | target.ip | |||
server_profile (este campo se extrae del campo msg) | additional.fields.key y additional.fields.value.string_value | |||
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
Marca de tiempo de alta resolución (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
Configuración
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de configuración y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | metadata.product_event_type | ||
Hora generada (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Host (host) | shost | src | principal.ip/hostname | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Comando (cmd) | actuar | msg | cmd | metadata.description |
Administrador (admin) | duser | usrName | principal.user.userid | |
Cliente (cliente) | destinationServiceName | cliente | principal.application | |
Resultado (resultado) | ID de firma (encabezado) (motivo) | Resultado | security_result.summary | |
Ruta de configuración (path) | msg | ConfigurationPath | principal.process.command_line | |
Detalle del antes del cambio (before_change_detail) | cs1 | BeforeChangeDetail | before_change_detail | target.resource.attribute.labels.key/value |
Detalle después del cambio (after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attribute.labels.key/value |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
Grupo de dispositivos (dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
Comentario de auditoría (comentario) | PanOSPolicyAuditComment | comentario | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Amenaza/WildFire
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de amenazas/WildFire y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si no hay "Generate Time") |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | cat/subtype (encabezado) | Subtipo | metadata.product_event_type | |
Hora de generación (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Dirección de origen (src) | src | src | principal.ip | |
Dirección de destino (dst) | DST | DST | target.ip | |
IP de origen de NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
IP de destino de NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Nombre de la regla (rule) | cs1 | RuleName | security_result.rule_name | |
Usuario de origen (srcuser) | Suser | SourceUser / usrName | principal.user.userid | |
Usuario de destino (dstuser) | ducha | DestinationUser | target.user.userid | |
Aplicación (app) | app | Aplicación | target.application | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de origen (desde) | cs4 | SourceZone | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de destino (hasta) | cs5 | DestinationZone | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz de salida (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión (sessionid) | cn1 | SessionID | network.session_id | |
Recuento de repetición (repetición) | cnt | RepeatCount | repeatcnt | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (sport) | spt | srcPort | principal.port | |
Puerto de destino (dport) | dpt | dstPort | target.port | |
Puerto de origen NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Puerto de destino de NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Marcas | flexString1 | Marcas | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo IP (proto) | protocolo | protocolo | network.ip_protocol | |
Acción | actuar | acción | security_result.action_details
security_result.action |
|
URL o nombre del archivo (misc) | solicitud | Varios | target.file.full_path (si el subtipo es "file", "virus", "wildfire-virus" o "wildfire", el campo "misc" se asigna a target.file.full_path) target.url (si el subtipo es "url", el campo "misc" se asigna a target.url y target.hostname) target.hostname (si el subtipo es "spyware" o "vulnerability", el campo "misc" se asigna a target.file.full_path y target.url) |
|
Nombre de contenido o amenaza (Threatid) | gato | ThreatID | security_result.threat_name | |
Categoría | cs2 | URLCategory | security_result.category_details | |
Gravedad | number-of-severity(header) | Gravedad | security_result.severity y security_result.severity_details | |
Dirección | flexString2 | Dirección | network.direction | |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
País de origen (srcloc) | SourceLocation | principal.location.country_or_region | ||
País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
Tipo de contenido | ContentType | contenttype | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de PCAP (pcap_id) | ID del archivo | PCAP_ID | pcap_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Resumen de archivos (filedigest) | fileHash | FileDigest | acerca del archivo.sha1/md5/sha256 | |
Nube (cloud) | filePath | Nube | nube | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Índice de URL (url_idx) | URLIndex | url_idx | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Usuario-agente (user_agent) | network.http.user_agent | |||
Tipo de archivo (filetype) | fileType | FileType | about.file.mime_type | |
X-Forwarded-For (xff) | principal.ip | |||
URL de referencia | network.http.referral_url | |||
Remitente (sender) | suid | Remitente | network.email.from | |
Asunto (subject) | msg | Asunto | network.email.subject | |
Destinatario (destinatario) | duid | Destinatario | network.email.to | |
ID del informe (reportid) | oldFileId | ReportID | reportid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
UUID de la VM de origen (src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
UUID de la VM de destino (dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
Método HTTP (http_method) | RequestMethod | network.http.method | ||
ID de túnel/IMSI (tunnel_id/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Etiqueta de supervisión/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión superior (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Hora de inicio de la sesión principal (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de túnel (túnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Categoría de amenaza (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
Versión de contenido (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de asociación de SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de protocolo de carga útil (ppid) | PanOSPPID | ppid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Encabezados HTTP (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista de categorías de URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
UUID de la regla (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
Conexión HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre dinámico del grupo de usuarios (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Dirección XFF (xff_ip) | PanXFFIP | principal.ip | ||
Categoría del dispositivo de origen (src_category) | PanSrcDeviceCat | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil del dispositivo de origen (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de origen (src_model) | PanSrcDeviceModel | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor del dispositivo de origen (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia del SO del dispositivo de origen (src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Versión del SO del dispositivo de origen (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Nombre de host de origen (src_host) | PanSrcHostname | principal.hostname | ||
Dirección MAC de origen (src_mac) | PanSrcMac | principal.mac | ||
Categoría del dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil de dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO de los dispositivos de destino (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Versión del SO del dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Nombre de host de destino (dst_host) | PanDstHostname | target.hostname | ||
Dirección MAC de destino (dst_mac) | PanDstMac | target.mac | ||
ID del contenedor (container_id) | PanContainerName | container_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Espacio de nombres del POD (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del POD (pod_name) | PanPODName | pod_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de origen (src_edl) | PanSrcEDL | src_edl | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de destino (dst_edl) | PanDstEDL | dst_edl | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de host (hostid) | PanGPHostID | hostid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Número de serie del dispositivo de usuario | PanEPSerial | principal.asset.hardware.serial_number | ||
EDL de dominio (domain_edl) | PanDomainEDL | domain_edl | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Grupo de direcciones dinámicas de origen (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Grupo de direcciones dinámico de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
Hash parcial (partial_hash) | PanPartialHash | partial_hash | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marca de tiempo de alta resolución (marca_de_tiempo_alta_res) | PanTimeHighRes | marca de tiempo de alta resolución | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Motivo (reason) | PanReasonFilteringAction | Reason | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Justificación (justificación) | PanJustification | justificación | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Un tipo de servicio de Slice (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Subcategoría de la aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de aplicación (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de la aplicación (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la aplicación (risk_of_app) | risk_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Característica de la aplicación (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de aplicación (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado de aplicación sancionada (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tráfico
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de tráfico y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | cat/Type | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtype (Header) | Subtipo | metadata.product_event_type | |
Hora generada (time_generated o cef-formatted-time_generated) | start | metadata.event_timestamp | ||
Dirección de origen (src) | src | src | principal.ip | |
Dirección de destino (dst) | DST | DST | target.ip | |
IP de origen de NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
IP de destino de NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Nombre de la regla (rule) | cs1 | RuleName | security_result.rule_name | |
Usuario de origen (srcuser) | suser | SourceUser | principal.user.userid | |
Usuario de destino (dstuser) | ducha | DestinationUser | target.user.userid | |
Aplicación (app) | app | Aplicación | target.application | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de origen (desde) | cs4 | SourceZone | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de destino (hasta) | cs5 | DestinationZone | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz de salida (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión (sessionid) | cn1 | SessionID | network.session_id | |
Recuento de repetición (repetición) | cnt | RepeatCount | repeatcnt | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (sport) | spt | srcPort | principal.port | |
Puerto de destino (dport) | dpt | dstPort | target.port | |
Puerto de origen NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Puerto de destino de NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Marcas | flexString1 | Marcas | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo IP (proto) | protocolo | protocolo | network.ip_protocol | |
Acción | actuar | acción | security_result.action_details
security_result.action |
|
Bytes (bytes) | flexNumber1 | totalBytes | bytes | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Bytes enviados (bytes_sent) | en | srcBytes | network.sent_bytes | |
Bytes recibidos (bytes_received) | Salida | dstBytes | network.received_bytes | |
Paquetes (paquetes) | cn2 | totalPackets | paquetes | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Hora de inicio (inicio) | StartTime | start | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tiempo transcurrido (transcurrido) | cn3 | ElapsedTime | transcurrido | network.session_duration.seconds |
Categoría | cs2 | URLCategory | security_result.category / security_result.category_details | |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
País de origen (srcloc) | SourceLocation | principal.location.country_or_region | ||
País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
Paquetes enviados (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Paquetes recibidos (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Motivo de finalización de la sesión (session_end_reason) | Reason | SessionEndReason | security_result.summary | |
Jerarquía del grupo de dispositivos 1 (de dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
Fuente de la acción (action_source) | gato | ActionSource | action_source | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
UUID de la VM de origen (src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
UUID de la VM de destino (dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
ID de túnel/IMSI (tunnelid/imsi) | PanOSTunnelID | TunnelID | tunnelid/imsi | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Etiqueta de supervisión/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión superior (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Hora de inicio del elemento superior (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de túnel (túnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de asociación de SCTP (assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Fragmentos de SCTP (fragmentos) | PanOSSCTPChunks | trozos | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Fragmentos SCTP enviados (chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Fragmentos SCTP recibidos (chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
UUID de la regla (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
Conexión HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Recuento de aletas de app (link_change_count) | PanLinkChange | link_change_count | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de la política (policy_id) | PanPolicyID | policy_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Interruptores de vínculo (link_switches) | PanLinkDetail | link_switches | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Clúster de SD-WAN (sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tipo de dispositivo SD-WAN (sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tipo de clúster de SD-WAN (sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Sitio de SD-WAN (sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre dinámico del grupo de usuarios (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Dirección XFF (xff_ip) | PanXFFIP | principal.ip | ||
Categoría del dispositivo de origen (src_category) | PanSrcDeviceCat | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil del dispositivo de origen (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de origen (src_model) | PanSrcDeviceModel | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor del dispositivo de origen (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia del SO del dispositivo de origen (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Versión del SO del dispositivo de origen (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Nombre de host de origen (src_host) | PanSrcHostname | principal.hostname | ||
Dirección MAC de origen (src_mac) | PanSrcMac | principal.mac | ||
Categoría del dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil de dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO de los dispositivos de destino (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Versión del SO del dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Nombre de host de destino (dst_host) | PanDstHostname | target.hostname | ||
Dirección MAC de destino (dst_mac) | PanDstMac | target.mac | ||
ID del contenedor (container_id) | PanContainerName | container_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Espacio de nombres del POD (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del POD (pod_name) | PanPODName | pod_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de origen (src_edl) | PanSrcEDL | src_edl | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de destino (dst_edl) | PanDstEDL | dst_edl | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de host (hostid) | PanGPHostID | hostid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Número de serie del dispositivo de usuario | PanEPSerial | principal.asset.hardware.serial_number | ||
Grupo de direcciones dinámicas de origen (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Grupo de direcciones dinámico de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
Propietario de la sesión (session_owner) | PanHASessionOwner | session_owner | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marca de tiempo de alta resolución (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Un tipo de servicio de Slice (nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Un diferenciador de Slice (nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Subcategoría de la aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de aplicación (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de la aplicación (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la aplicación (risk_of_app) | security_result.severity | |||
Característica de la aplicación (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de aplicación (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado de aplicación sancionada (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Subcategoría de la aplicación (subcategory_of_app) | subcategory_of_app1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
User-ID
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de ID de usuario y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtype (Header) | Subtipo | metadata.product_event_type | |
Hora generada (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
IP de origen | src | src | principal.ip | |
Usuario (user) | ducha | usrName | target.user.userid
target.administrative_domain target.user.email_addresses |
|
Nombre de la fuente de datos (nombre de la fuente de datos) | cs4 | DataSourceName | datasourcename | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
ID de evento (eventid) | EventID | eventid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Recuento de repetición (repetición) | cnt | RepeatCount | repeatcnt | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Umbral de tiempo de espera agotado | cn3 | TimeoutThreshold | tiempo de espera agotado | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (beginport) | spt | srcPort | principal.port | |
Puerto de destino (puerto final) | dpt | dstPort | target.port | |
Fuente de datos (datasource) | cs5 | DataSource | fuente de datos | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de fuente de datos (tipo de fuente de datos) | cs6 | DataSourceType | datasourcetype | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID del sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |
Tipo de factor (factortype) | cs1 | FactorType | factortype | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tiempo de finalización del factor (tiempo de finalización del factor) | end | FactorCompletionTime | factorcompletiontime | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Número de factor (factorno) | cn1 | FactorNumber | Factorno | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Marcas de grupos de usuarios (ugflags) | PanOSUGFlags | ugflags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Usuario por fuente (userbysource) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_addresses |
||
Marca de tiempo de alta resolución (marca de tiempo de alta resolución) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
Coincidencia con HIP
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de coincidencia de HIP y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtype (Header) | Subtipo | ||
Hora generada (time_generated o cef-formatted-time_generated) | start | startTime | metadata.event_timestamp | |
Usuario de origen (srcuser) | Suser | usrName | principal.user.userid | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre de la máquina (machinename) | shost | identHostName | principal.hostname | |
Sistema operativo (SO) | cs2 | SO | principal.asset.platform_software.platform | |
Dirección de origen (src) | src | identsrc | principal.ip | |
HIP (matchname) | gato | HIP | matchname | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Recuento de repetición (repetición) | cnt | RepeatCount | repeatcnt | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de HIP (tipo de concordancia) | ID de clase de evento del dispositivo (encabezado) | HIPType | tipo de concordancia | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID del sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id | |
Dirección del sistema IPv6 (srcipv6) | c6a2 | srcipv6 | principal.asset.ip | |
ID de host (hostid) | PanOSHostID | principal.asset.product_object_id | ||
Número de serie del dispositivo del usuario (serialnumber) | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
Dirección MAC del dispositivo (mac) | PanOSEndpointMac | principal.asset.mac | ||
Marca de tiempo de alta resolución (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si no hay "Generate Time") |
Etiqueta de IP
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de la etiqueta de IP y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtype (Header) | Subtipo | metadata.product_event_type | |
Hora de generación (time_generated o cef-formatted-time_generated) | GenerateTime | metadata.event_timestamp | ||
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
IP de origen | src | src | principal.ip | |
Nombre de la etiqueta (tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
ID de evento (event_id) | PanOSEventID | EventID | event_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Recuento de repetición (repetición) | cnt | RepeatCount | repeatcnt | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tiempo de espera | PanOSTimeout | TimeoutThreshold | tiempo de espera agotado | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre de la fuente de datos (datasourcename) | PanOSDataSourceName | DataSourceName | datasourcename | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de fuente de datos (datasource_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Subtipo de fuente de datos (pipeline_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID del sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id | |
Marca de tiempo de alta resolución (marca_de_tiempo_alta_res) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si no hay "Generate Time") |
Desencriptación
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de desencriptación y sus correspondientes campos de UDM.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Número de serie (serial) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
Tipo (type) | tipo (encabezado) | metadata.product_event_type | ||
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | metadata.product_event_type | ||
Versión de configuración (config_ver) | PanOSConfigVersion | config_ver | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Hora de generación (time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
Dirección de origen (src) | src | principal.ip | ||
Dirección de destino (dst) | DST | target.ip | ||
IP de origen de NAT (natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
IP de destino de NAT (natdst) | destinationTranslatedAddress | target.nat_ip | ||
Regla (regla) | cs1 | security_result.rule_name | ||
Usuario de origen (srcuser) | suser | principal.user.userid | ||
Usuario de destino (dstuser) | ducha | target.user.userid | ||
Aplicación (app) | app | target.application | ||
Sistema virtual (vsys) | cs3 | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Zona de origen (desde) | cs4 | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Zona de destino (hasta) | cs5 | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Interfaz entrante (inbound_if) | deviceInboundInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Interfaz de salida (outbound_if) | deviceOutboundInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Acción de registro (conjunto de registros) | cs6 | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Hora de registro (time_received) | PanOSTimeReceivedManagementPlane | - | ||
ID de sesión (ID de sesión) | cn1 | network.session_id | ||
Recuento de repetición (repetición) | PanOSCountOfRepeats/RepeatCount | repeatcnt | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Puerto de origen (sport) | spt | principal.port | ||
Puerto de destino (dport) | dpt | target.port | ||
Puerto de origen NAT (natsport) | sourceTranslatedPort | principal.nat_port | ||
Puerto de destino de NAT (natdport) | destinationTranslatedPort | target.nat_port | ||
Marcas | flexString1 | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Protocolo IP (proto) | protocolo | network.ip_protocol | ||
Acción | actuar | security_result.action_details
security_result.action |
||
Túnel (túnel) | PanOSTunnel | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
UUID de la VM de origen (src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
UUID de la VM de destino (dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
UUID de la regla (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
Etapa del cliente al firewall (hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Etapa de firewall a servidor (hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Versión de TLS (tls_version) | PanOSTLSVersion | network.tls.version | ||
Algoritmo de intercambio de claves (tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Algoritmo de encriptación (tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Algoritmo hash (tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre de la política (policy_name) | PanOSPolicyName | policy_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Curva elíptica (ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
Índice de error (err_index) | PanOSErrorIndex | err_index | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Estado de raíz (root_status) | PanOSRootStatus | root_status | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Estado de la cadena (chain_status) | PanOSChainStatus | chain_status | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tipo de proxy (proxy_type) | PanOSProxyType | proxy_type | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Número de serie del certificado (cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
Huella digital del certificado | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
Fecha de inicio del certificado (notbefore) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
Fecha de finalización del certificado (notafter) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
Versión del certificado (cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
Tamaño del certificado (cert_size) | PanOSCertificateSize | cert_size | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Longitud del nombre común (cn_len) | PanOSCommonNameLength | cn_len | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Longitud del nombre común de la entidad emisora (issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Longitud del nombre común raíz (rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Longitud de SNI (sni_len) | PanOSSNILength | sni_len | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marcas de certificado (cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre común del asunto (CN) | PanOSCommonName | cn | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre común de la entidad emisora (issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
Nombre común raíz (root_cn) | PanOSRootCommonName | root_cn | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Indicación del nombre del servidor
(sni) |
network.tls.client.server_name | |||
Error (error) | PanOSErrorMessage | error | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID del contenedor (container_id) | PanOSContainerID | container_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Espacio de nombres del POD (pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del Pod (pod_name) | PanOSContainerName | pod_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de origen (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de destino (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Grupo de direcciones dinámicas de origen (src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
Grupo de direcciones dinámico de destino (dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
Marca de tiempo de alta resolución (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si no hay "Generate Time") |
||
Categoría del dispositivo de origen (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil del dispositivo de origen (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de origen (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor del dispositivo de origen (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia del SO del dispositivo de origen (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key y principal.labels.value |
||
Versión de SO del dispositivo de origen (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
Nombre de host de origen (src_host) | PanOSSourceDeviceHost | principal.hostname | ||
Dirección MAC de origen (src_mac) | PanOSSourceDeviceMac | principal.mac | ||
Categoría del dispositivo de destino (dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil de dispositivo de destino (dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo de dispositivo de destino (dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de destino (dst_vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO de los dispositivos de destino (dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Versión del SO del dispositivo de destino (dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
Nombre de host de destino (dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
Dirección MAC de destino (dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
Número de secuencia (seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
Marcas de acción | PanOSActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Jerarquía del grupo de dispositivos (dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Jerarquía del grupo de dispositivos (dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Jerarquía del grupo de dispositivos (dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Jerarquía del grupo de dispositivos (dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del sistema virtual (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
Nombre del dispositivo (device_name) | intermediary.hostname | |||
ID del sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |||
Subcategoría de aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de aplicación (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de la aplicación (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la aplicación (risk_of_app) | security_result.severity | |||
Característica de la aplicación (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de aplicación (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado de aplicación sancionada (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Túnel
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de túnel y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtype (Header) | Subtipo | metadata.product_event_type | |
Hora generada (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Dirección de origen (src) | src | src | principal.ip | |
Dirección de destino (dst) | DST | DST | target.ip | |
IP de origen de NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
IP de destino de NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Nombre de la regla (rule) | cs1 | RuleName | security_result.rule_name | |
Usuario de origen (srcuser) | Suser | SourceUser / usrName | principal.user.userid | |
Usuario de destino (dstuser) | ducha | DestinationUser | target.user.userid | |
Aplicación (app) | app | Aplicación | network.application_protocol | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de origen (desde) | cs4 | SourceZone | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de destino (hasta) | cs5 | DestinationZone | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz de salida (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión (sessionid) | cn1 | SessionID | network.session_id | |
Recuento de repetición (repetición) | cnt | RepeatCount | repeatcnt | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (sport) | spt | srcPort | principal.port | |
Puerto de destino (dport) | dpt | dstPort | target.port | |
Puerto de origen NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Puerto de destino de NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Marcas | flexString1 | Marcas | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo IP (proto) | protocolo | protocolo | network.ip_protocol | |
Acción | actuar | acción | security_result.action_details
security_result.action |
|
Gravedad | security_result.severity y security_result.severity_details | |||
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Ubicación de la fuente (srcloc) | principal.location.country_or_region | |||
Ubicación de destino (dstloc) | target.location.country_or_region | |||
Jerarquía del grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID de túnel (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Etiqueta de supervisión (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión superior (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Hora de inicio del elemento superior (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de túnel (túnel) | cs2 | TunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Bytes (bytes) | flexNumber1 | totalBytes | bytes | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Bytes enviados (bytes_sent) | en | srcBytes | network.sent_bytes | |
Bytes recibidos (bytes_received) | Salida | dstBytes | network.received_bytes | |
Paquetes (paquetes) | cn2 | totalPackets | paquetes | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Paquetes enviados (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Paquetes recibidos (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Encapsulamiento máximo (max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo desconocido (unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Verificación estricta (strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Fragmento de túnel (tunnel_fragment) | PanOSTunnelFragment | TunnelFragment | tunnel_fragment | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Sesiones creadas (sessions_created) | cfp3 | SessionsCreated | sessions_created | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Sesiones cerradas (sessions_closed) | cfp4 | SessionsClosed | sessions_closed | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Motivo de finalización de la sesión (session_end_reason) | Reason | SessionEndReason | security_result.summary | |
Fuente de la acción (action_source) | gato | ActionSource | action_source | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Hora de inicio (inicio) | startTime | start | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tiempo transcurrido (transcurrido) | cn3 | ElapsedTime | transcurrido | network.session_duration.seconds |
Regla de inspección de túnel (tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}" | ||
IP de usuario remoto (remote_user_ip) | PanOSRmtUserIP | target.ip | ||
ID de usuario remoto (remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
UUID de la regla de seguridad (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
ID de PCAP (pcap_id) | PanOSPcapID | pcap_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre dinámico del grupo de usuarios (dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
Lista dinámica externa de origen (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de destino (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marca de tiempo de alta resolución (marca de tiempo de alta resolución) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si no hay "Generate Time") |
||
Diferenciador de Slice (nssai_sd) | nssai_sd | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Un tipo de servicio de Slice (nssai_sd) | nssai_sd1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de sesión de la PDU (pdu_session_id) | pdu_session_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Subcategoría de la aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de aplicación (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de la aplicación (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la aplicación (risk_of_app) | risk_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Característica de la aplicación (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de aplicación (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado de aplicación sancionada (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Autenticación
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de autenticación y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtype (Header) | Subtipo | metadata.product_event_type | |
Hora generada (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
IP de origen | src | src | principal.ip | |
Usuario (user) | ducha | usrName | target.user.userid | |
Normalizar usuario (normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
Objeto (objeto) | fname | ObjectName | objeto | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Política de autenticación (authpolicy) | cs4 | AuthPolicy | authpolicy | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Recuento de repetición (repetición) | cnt | RepeatCount | repeatcnt | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de autenticación (authid) | cn2 | AuthenticationID | authid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Proveedor | flexString2 | Proveedor | vendor | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Perfil del servidor (perfil del servidor) | cs1 | ServerProfile | serverprofile | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Descripción (en orden descendente) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
Tipo de cliente (clienttype) | cs5 | ClientType | clienttype | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de evento (evento) | msg | msg | extensions.auth.auth_details | |
Número de factor (factorno) | cn1 | FactorNumber | Factorno | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID del sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id | |||
Protocolo de autenticación (authproto) | authproto | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
UUID de la regla (rule_uuid) | PanOSRuleUUID/RuleUUID | security_result.rule_id | ||
Marca de tiempo de alta resolución (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si no hay "Generate Time") |
||
Categoría del dispositivo de origen (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil del dispositivo de origen (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de origen (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor del dispositivo de origen (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia del SO del dispositivo de origen (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Versión de SO del dispositivo de origen (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
Nombre de host de origen (src_host) | PanOSSourceHostname | principal.hostname | ||
Dirección MAC de origen (src_mac) | PanOSSourceMac | principal.asset.mac | ||
Región (región) | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
Usuario-agente (user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
ID de sesión(ID de sesión) | PanOSTrafficSessionID | network.session_id |
URL
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de URL y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie (serie) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtype (Header) | Subtipo | metadata.product_event_type | |
Hora de generación | metadata.event_timestamp | |||
Dirección de origen (src) | src | src | principal.ip | |
Dirección de destino (dst) | DST | DST | target.ip | |
IP de origen de NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
IP de destino de NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Regla (regla) | cs1 | RuleName | security_result.rule_name | |
Usuario de origen (srcuser) | suser | SourceUser | principal.user.userid | |
Usuario de destino (dstuser) | ducha | DestinationUser | target.user.userid | |
Aplicación (app) | app | Aplicación | network.application_protocol | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de origen (desde) | cs4 | SourceZone | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de destino (hasta) | cs5 | DestinationZone | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz de salida (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Hora de registro | time_logged | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de sesión (sessionid) | cn1 | SessionID | network.session_id | |
Recuento de repetición (repetición) | cnt | RepeatCount | repeatcnt | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (sport) | spt | srcPort | principal.port | |
Puerto de destino (dport) | dpt | dstPort | target.port | |
Puerto de origen NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Puerto de destino de NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Marcas | flexString1 | Marcas | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo IP (proto) | protocolo | protocolo | network.ip_protocol | |
Acción | actuar | acción | security_result.action_details
security_result.action |
|
URL/Nombre de archivo (varios) | Varios | target.file.full_path
target.url |
||
Nombre de contenido o amenaza (Threatid) | gato | ThreatID | security_result.threat_id | |
Categoría (category) | cs2 | URLCategory | category | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Gravedad | number-of-severity (encabezado) | Gravedad | security_result.severity
security_result.severity_details |
|
Dirección | flexString2 | Dirección | network.direction | |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
País de origen (srcloc) | SourceLocation | principal.location.country_or_region | ||
País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
tipodecontenido | requestContext | ContentType | contenttype | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
pcap_id (id de pcap_id) | ID del archivo | PCAP_ID | pcap_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
filedigest (resumen de archivos) | FileDigest | acerca del archivo.sha1/md5/sha256 | ||
nube (cloud) | Nube | nube | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
url_idx (url_idx) | URLIndex | url_idx | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
user_agent (user_agent) | requestClientApplication | UserAgent | network.http.user_agent | |
tipo de archivo (tipo de archivo) | about.file.mime_type | |||
xff (xff) | PanOSXForwarderfor | identSrc | xff | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
URL de referencia | PanOSReferer | Referencia | network.http.referral_url | |
remitente (sender) | network.email.from | |||
asunto | Asunto | network.email.subject | ||
destinatario | network.email.to | |||
reportid (ID de informe) | reportid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Jerarquía de la DG, nivel 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nivel 2 de la jerarquía de la DG (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía de DG, nivel 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía de DG, nivel 4 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
file_url (file_url) | about.url | |||
UUID de la VM de origen (src_uuid) | SrcUUID | principal.asset.asset_id | ||
UUID de la VM de destino (dst_uuid) | DstUUID | target.asset.asset_id | ||
http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
ID de túnel/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Supervisar Tag/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión superior (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Hora de inicio de la sesión principal (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Túnel (túnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
contentver (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
sig_flags (sig_flags) | sig_flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de asociación de SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de protocolo de carga útil (ppid) | PanOSPPID | ppid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista de categorías de URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
UUID para la regla (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Conexión HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
dynusergroup_name (nombre_grupo_usuarios) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Dirección XFF (xff_ip) | PanXFFIP | principal.ip | ||
Categoría del dispositivo de origen (src_category) | PanSrcDeviceCat | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil del dispositivo de origen (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de origen (src_model) | PanSrcDeviceModel | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor del dispositivo de origen (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia del SO del dispositivo de origen (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Versión del SO del dispositivo de origen (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Nombre de host de origen (src_host) | PanSrcHostname | src_host | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Dirección MAC de origen (src_mac) | PanSrcMac | principal.mac | ||
Categoría del dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil de dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO de los dispositivos de destino (dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key y target.labels.value |
||
Versión del SO del dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Nombre de host de destino (dst_host) | PanPODNamespace | target.hostname | ||
Dirección MAC de destino (dst_mac) | PanDstMac | target.mac | ||
ID del contenedor (container_id) | PanContainerName | container_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Espacio de nombres del POD (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del POD (pod_name) | PanPODName | pod_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de origen (src_edl) | PanSrcEDL | src_edl | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de destino (dst_edl) | PanDstEDL | dst_edl | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de host (hostid) | PanGPHostID | hostid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Número de serie | PanEPSerial | principal.asset.hardware.serial_number | ||
dominio_edl (domain_edl) | PanDomainEDL | domain_edl | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Grupo de direcciones dinámicas de origen (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Grupo de direcciones dinámico de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
parcial_hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marca de tiempo de alta resolución (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Motivo (reason) | PanReasonFilteringAction | Reason | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
justificación (justificación) | PanJustification | justificación | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
nssai_sst (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Subcategoría de la aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de la app (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de la app (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la app (risk_of_app) | risk_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Característica de la app (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Aplicación tunelizada (tunneled_app) | tunneled_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de la app (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado de la app sancionada (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Datos
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de datos y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie (serie) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtype (Header) | Subtipo | metadata.product_event_type | |
Hora de generación | metadata.event_timestamp | |||
Dirección de origen (src) | src | src | principal.ip | |
Dirección de destino (dst) | DST | DST | target.ip | |
IP de origen de NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
IP de destino de NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Regla (regla) | cs1 | RuleName | security_result.rule_name | |
Usuario de origen (srcuser) | suser | SourceUser | principal.user.userid | |
Usuario de destino (dstuser) | ducha | DestinationUser | target.user.userid | |
Aplicación (app) | app | Aplicación | network.application_protocol | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de origen (desde) | cs4 | SourceZone | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de destino (hasta) | cs5 | DestinationZone | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz de salida (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Hora de registro | time_logged | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de sesión (sessionid) | cn1 | SessionID | network.session_id | |
Recuento de repetición (repetición) | cnt | RepeatCount | repeatcnt | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (sport) | spt | srcPort | principal.port | |
Puerto de destino (dport) | dpt | dstPort | target.port | |
Puerto de origen NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Puerto de destino de NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Marcas | flexString1 | Marcas | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo IP (proto) | protocolo | protocolo | network.ip_protocol | |
Acción | actuar | acción | security_result.action_details
security_result.action |
|
URL/Nombre de archivo (varios) | Varios | target.file.full_path
target.url |
||
Nombre de contenido o amenaza (Threatid) | gato | ThreatID | security_result.threat_id | |
Categoría (category) | cs2 | URLCategory | category | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Gravedad | number-of-severity (encabezado) | Gravedad | security_result.severity
security_result.severity_details |
|
Dirección | flexString2 | Dirección | network.direction | |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
País de origen (srcloc) | SourceLocation | principal.location.country_or_region | ||
País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
contenttype (contenttype) | ContentType | contenttype | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
pcap_id (id de pcap_id) | ID del archivo | PCAP_ID | pcap_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
filedigest (resumen de archivos) | FileDigest | acerca del archivo.sha1/md5/sha256 | ||
nube (cloud) | Nube | nube | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
url_idx (url_idx) | URLIndex | url_idx | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
user_agent (user_agent) | network.http.user_agent | |||
tipo de archivo (tipo de archivo) | about.file.mime_type | |||
xff (xff) | xff | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
referer (referencia) | network.http.referral_url | |||
remitente (sender) | network.email.from | |||
asunto | Asunto | network.email.subject | ||
destinatario | network.email.to | |||
reportid (ID de informe) | reportid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Jerarquía de la DG, nivel 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nivel 2 de la jerarquía de la DG (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía de DG, nivel 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía de DG, nivel 4 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
file_url (file_url) | about.url | |||
UUID de la VM de origen (src_uuid) | SrcUUID | principal.asset.asset_id | ||
UUID de la VM de destino (dst_uuid) | DstUUID | target.asset.asset_id | ||
http_method (http_method) | RequestMethod | network.http.method | ||
ID de túnel/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Supervisar Tag/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión superior (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Hora de inicio de la sesión principal (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Túnel (túnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
contentver (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
sig_flags (sig_flags) | sig_flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de asociación de SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de protocolo de carga útil (ppid) | PanOSPPID | ppid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista de categorías de URL (url_category_list) | url_category_list | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
UUID para la regla (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Conexión HTTP/2 (http2_connection) | http2_connection | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
dynusergroup_name (nombre_grupo_usuarios) | dynusergroup_name | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Dirección XFF (xff_ip) | principal.ip | |||
Categoría del dispositivo de origen (src_category) | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Perfil de dispositivo de origen (src_profile) | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Modelo del dispositivo de origen (src_model) | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Proveedor de dispositivos de origen (src_vendor) | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Familia de SO del dispositivo de origen (src_osfamily) | principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|||
Versión del SO del dispositivo de origen (src_osversion) | principal.asset.software.version | |||
Nombre de host de origen (src_host) | src_host | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Dirección MAC de origen (src_mac) | principal.mac | |||
Categoría de dispositivo de destino (dst_category) | dst_category | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
||
Perfil de dispositivo de destino (dst_profile) | dst_profile | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
||
Modelo de dispositivo de destino (dst_model) | dst_model | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
||
Proveedor del dispositivo de destino (dst_vendor) | dst_vendor | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
||
Familia del SO del dispositivo de destino (dst_osfamily) | target.asset.platform_software.platform
target.labels.key y target.labels.value |
|||
Versión del SO del dispositivo de destino (dst_osversion) | target.asset.software.version | |||
Nombre de host de destino (dst_host) | target.hostname | |||
Dirección MAC de destino (dst_mac) | target.mac | |||
ID del contenedor (container_id) | container_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Espacio de nombres del Pod (pod_namespace) | pod_namespace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nombre del Pod (pod_name) | pod_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Lista dinámica externa de origen (src_edl) | src_edl | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Lista dinámica externa de destino (dst_edl) | dst_edl | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de host (hostid) | hostid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Número de serie (serialnumber) | principal.asset.hardware.serial_number | |||
dominio_edl (domain_edl) | domain_edl | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Grupo de direcciones dinámicas de origen (src_dag) | principal.group.group_display_name | |||
Grupo de direcciones dinámicas de destino (dst_dag) | target.group.group_display_name | |||
partial_hash (partial_hash) | partial_hash | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Marca de tiempo de alta resolución (high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|||
Motivo (reason) | Reason | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
justificación | justificación | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
nssai_sst (nssai_sst) | nssai_sst | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Subcategoría de la aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de la app (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de la app (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la app (risk_of_app) | risk_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Característica de la app (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Aplicación tunelizada (tunneled_app) | tunneled_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de la app (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado de la app sancionada (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
GlobalProtect
En la siguiente tabla, se enumeran los campos de registro del tipo de registro GlobalProtect y sus correspondientes campos de UDM.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time) | rt | received_time | metadata.event_timestamp | |
Número de serie (serial) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
Tipo (type) | tipo (encabezado) | metadata.product_event_type | ||
Amenaza/tipo de contenido (subtipo) | subtype (Header) | Subtipo | metadata.product_event_type | |
Hora de generación (time_generated) | PanOSLogTimeStamp | generated_timestamp | metadata.event_timestamp | |
Sistema virtual (vsys) | PanOSVirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de evento (eventid) | PanOSEventID | event_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Etapa (etapa) | PanOSStage | de este proceso, | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Método de autenticación (auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
Tipo de túnel (tunnel_type) | PanOSTunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Usuario de origen (srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
Región de origen (srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
Nombre de la máquina (machinename) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
IP pública (public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
IPv6 pública (public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
IP privada (private_ip) | PanOSPrivateIPv4 | principal.ip | ||
IPv6 privado (private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
ID de host (hostid) | PanOSHostID | hostid | principal.asset.asset_id | |
Número de serie (serialnumber) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
Versión del cliente (client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
SO del cliente (client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
Versión del SO del cliente (client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
Cantidad de repeticiones (repeatcnt) | PanOSCountOfRepeats | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Motivo (reason) | PanOSQuarantineReason | security_result.summary | ||
Error (error) | PanOSConnectionError | error | security_result.description | |
Descripción (opaco) | PanOSDescription | security_result.description | ||
Estado | PanOSEventStatus | estado | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Ubicación (ubicación) | PanOSGPGatewayLocation | target.location.country_or_region | ||
Duración del acceso (login_duration) | PanOSLoginDuration | network.session_duration | ||
Método de conexión (connect_method) | PanOSConnectionMethod | connect_method | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Código de error (error_code) | PanOSConnectionErrorID | error_code | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Portal | PanOSPortal | portal | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Número de secuencia (seqno) | PanOSSequenceNo | metadata.product_log_id | ||
Marcas de acción | PanOSActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marca de tiempo de alta resolución (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Método de selección de la puerta de enlace (selection_type) | PanOSGatewaySelectionType | selection_type | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tiempo de respuesta de SSL (response_time) | PanOSSSLResponseTime | response_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Prioridad de la puerta de enlace (priority) | PanOSGatewayPriority | priority | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Puertas de enlace intentadas (attempted_gateways) | PanOSAttemptedGateways | attempted_gateways | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre de la puerta de enlace (puerta de enlace) | PanOSAttemptedGateways | puerta de enlace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Jerarquía del grupo de dispositivos (dg_hier_level_1) | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Jerarquía del grupo de dispositivos (dg_hier_level_2) | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Jerarquía del grupo de dispositivos (dg_hier_level_3) | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Jerarquía del grupo de dispositivos (dg_hier_level_4) | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nombre del sistema virtual (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
Nombre del dispositivo (device_name) | target.hostname | |||
ID del sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id |
Correlación
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correlación y sus campos de UDM correspondientes.
Campo CSV | Campo CEF | Campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de generación (time_generated o cef-formatted-time_generated) | startTime | generated_timestamp | metadata.event_timestamp | |
Dirección de origen (src) | src | principal.ip | ||
Usuario de origen (srcuser) | SourceUser / usrName | principal.user.userid | ||
Sistema virtual (vsys) | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Categoría (category) | security_result.category_details | |||
Gravedad (severity) | Gravedad | security_result.severity y security_result.severity_details | ||
Nivel 1 de la jerarquía de grupos de dispositivos | DeviceGroupHierarchyL1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nivel 2 de la jerarquía del grupo de dispositivos | DeviceGroupHierarchyL2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nivel 3 de la jerarquía de grupos de dispositivos | DeviceGroupHierarchyL3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nivel de jerarquía del grupo de dispositivos 4 | DeviceGroupHierarchyL4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nombre del sistema virtual (vsys_name) | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
Nombre del dispositivo (device_name) | DeviceName | intermediary.hostname | ||
ID del sistema virtual (vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | ||
Nombre del objeto (objectname) | ObjectName | target.resource.name | ||
ID de objeto (object_id) | ObjectID | target.resource.product_object_id |
Referencia de asignación de campos: Tipos de registro a tipo de evento de la AUA
En la siguiente tabla, se enumeran los tipos de registros de firewall de Palo Alto Networks y sus correspondientes tipos de eventos de UDM.
Tipo de registro | Tipo de evento de la AUA |
Tráfico | NETWORK_CONNECTION |
Amenaza | NETWORK_CONNECTION |
Filtrado de URLs | NETWORK_CONNECTION |
WildFire | NETWORK_CONNECTION
Los registros de envío de WildFire son un subtipo de tipo de registro de amenazas y usan los mismos syslog. |
Filtrado de datos | NETWORK_CONNECTION |
Túnel | NETWORK_CONNECTION |
Configuración | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
El valor del campo "Command (cmd)" determina la asignación del tipo de evento de la AUA. Si el valor del campo cmd es add o clone, se establece SETTING_CREATION. Si se borra el valor del campo cmd, se establece SETTING_DELETION. Si el valor del campo cmd es editar, mover, cambiar el nombre, establecer o confirmar, Se estableció SETTING_MODIFICATION. Si el valor del campo cmd no contiene ningún valor, entonces SETTING_UNCATEGORIZED esté establecida. |
Sistema |
Si el valor del subtipo es "dhcp", se establece NETWORK_DHCP. Si el valor del subtipo es "auth", entonces se establece USER_ACCESS. Si el valor de la descripción es “accedido”, se establece USER_ACCESS. Si el valor de la descripción es "salió de la cuenta", se establece USER_LOGOUT. Para otros valores del subtipo, se establece GENERIC_EVENT. |
Coincidencia con HIP | NETWORK_CONNECTION |
Etiqueta de IP | GENERIC_EVENT |
User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
Si el valor del subtipo es "login", se establece USER_LOGIN. Si el valor del subtipo es "logout", se establece USER_LOGOUT. Si el subtipo no contiene ningún valor, se establece USER_UNCATEGORIZED. |
Desencriptación | NETWORK_CONNECTION |
Autenticación | GENERIC_EVENT |