Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de firewall de Palo Alto Networks

Compatible con:

SecOps de Google SIEM

Descripción general

En este documento, se describe cómo configurar syslog y un reenviador de Google Security Operations para recopilar registros del firewall de Palo Alto Networks. En este documento, también se explica cómo los campos de registro del firewall de Palo Alto Networks se asignan a los campos del modelo de datos unificado (UDM) de Google Security Operations.

Para obtener una descripción general de la transferencia de datos a Google Security Operations, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato de UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia PAN_FIREWALL.

Antes de comenzar

Para comprender los componentes implementados para recopilar el firewall de Palo Alto Networks y registros del sistema, revisa la arquitectura de implementación. Cada implementación de cliente puede ser diferente de esta representación y podría ser más compleja.

En el siguiente diagrama, se muestra cómo configurar syslog en una instancia de Palo Alto Networks firewall e instalarás un servidor de reenvío de Google Security Operations en un servidor Linux para reenviar datos a Google Security Operations. El analizador admite registros escritos en el siguiente formatos de datos: valores separados por comas (CSV), formato de evento común (CEF) y Formato extendido de eventos de registro (LEEF).
Verifica los formatos de registro y las versiones de PAN-OS que usa el analizador de Google Security Operations admite. En la siguiente tabla, se enumeran los formatos de registro y los PAN-OS correspondientes compatibles con el analizador de Google Security Operations:

Formato de registro Versión de PAN-OS

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Verifica los tipos de registros de firewall de Palo Alto Networks que admite el analizador de Google Security Operations. El analizador de Google Security Operations admite los siguientes tipos de registros de firewall de Palo Alto Networks:
- Tráfico
- Amenaza
- Envíos de WildFire
- Inspección de túneles
- Configuración
- Sistema
- Coincidencia con HIP
- Etiqueta de IP
- User-ID
- Desencriptación
- Autenticación
- Filtros de URL
- Filtrado de datos
- GlobalProtect
- Correlación
Para obtener más información sobre los tipos de registros de firewall de Palo Alto Networks, consulta Tipos de registros de PAN-OS.
Asegúrate de que todos los sistemas en la arquitectura de implementación estén configurados en la zona horaria UTC.
Antes de usar el analizador de firewall de Palo Alto Networks, revisa los cambios en las asignaciones de campos entre el analizador anterior y el analizador de firewall de Palo Alto Networks actual. Como parte de la migración, asegúrate de que las reglas, las búsquedas los paneles u otros procesos que dependen de los campos originales usan los campos actualizados.

Por ejemplo, en la versión anterior del analizador, el campo de registro category se asigna al Campo de UDM security_result.description. En el analizador de firewall de Palo Alto Networks actual, el campo de registro category se asigna al campo UDM security_result.category_details. Si migras al analizador de firewall actual de Palo Alto Networks y usas el campo category en tus reglas, haz lo siguiente: Debes modificar las reglas para usar el campo UDM security_result.category_details del analizador actual.

Configura syslog y el servidor de reenvío de Google Security Operations

Para configurar el syslog y el reenviador de Google Security Operations, completa los siguientes pasos:

Para supervisar los registros de CSV, configura el perfil del servidor syslog. Para obtener más información, consulta Configura el perfil del servidor de syslog.

Cuando configures el perfil del servidor de syslog, especifica "Predeterminado" como el formato de registro personalizado.
Para supervisar los registros de CEF, configura el firewall de Palo Alto Networks para que reenvíe los registros de CEF. Para obtener más información, descarga el PDF de la guía de integración de CEF de PAN-OS y consulta la sección "Configuración del NGFW de Palo Alto Networks para generar eventos de CEF".
Para supervisar los registros de LEEF, configura el perfil del servidor syslog. Para obtener más información, consulta Reenvío de registros personalizado en formato LEEF.
Configura el reenviador de Google Security Operations para enviar registros a Google Security Operations. Para obtener más información, consulta Instala y configura el reenviador en Linux. A continuación, se muestra un ejemplo de la configuración de un reenviador de Google Security Operations:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Referencia de asignación de campos: campos de registros de firewall de PAN a campos UDM

En esta sección, se explica cómo el analizador asigna los campos de registro del firewall de Palo Alto Networks a los campos de eventos de la UDM de Google Security Operations para cada tipo de registro.

La clave de etiqueta de Google Security Operations hace referencia al nombre de la clave asignada al campo UDM de Labels.key. Por ejemplo, en el caso del “sistema virtual” , el nombre del campo es "cs3" en CEF y es “VirtualSystem” en formato LEEF. El campo de UDM "about.labels.key" contiene el valor "vsys" y el campo de UDM "about.labels.value" contiene el valor de ese campo.

Algunos de los nombres de los campos CEF o LEEF no tienen un nombre que corresponda al archivo CSV en los nombres de campo. En esos casos, si agregas tu propio nombre de variable en formato de registro personalizado en el perfil de syslog, el analizador no lo asigna al campo UDM.

Consulta las siguientes secciones para obtener referencias de la asignación de cada tipo de registro:

Sistema
Configuración
Amenaza o incendio
Tráfico
ID de usuario
Coincidencia de HIP
Etiqueta de IP
Desencriptación
Túnel
Authentication
URL
Datos
GlobalProtect
Correlación

Sistema

En la siguiente tabla, se enumeran los campos de registro del tipo de registro del sistema y sus correspondientes campos de UDM.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	gato		metadata.product_event_type está configurado como "%{type} - %{subtype}".
Tipo de amenaza o contenido (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type se establece en "%{type} - %{subtype}".
Hora generada (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de evento (eventid)	gato		eventid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Objeto (objeto)	fname	Nombre del archivo	objeto	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Módulo (módulo)	flexString2	Módulo	module	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Gravedad (severity)	$number-of-severity(header)	Gravedad		security_result.severity y security_result.severity_details
Descripción (opaco)	msg	msg		metadata.description
	principal_user_userid (este campo se extrae del campo msg)			principal.user.userid
	principal_ip3 (este campo se extrae del campo msg)			principal.ip
	Motivo (este campo se extrae del campo msg)			security_result.description
	server_address (este campo se extrae del campo msg)			target.ip
	server_profile (este campo se extrae del campo msg)			additional.fields.key y additional.fields.value.string_value
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Marca de tiempo de alta resolución (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)

Configuración

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de configuración y sus campos de UDM correspondientes.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	gato		metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtipo (encabezado)			metadata.product_event_type
Hora generada (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Host (host)	shost	src		principal.ip/hostname
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Comando (cmd)	actuar	msg	cmd	metadata.description
Administrador (admin)	duser	usrName		principal.user.userid
Cliente (cliente)	destinationServiceName	cliente		principal.application
Resultado (resultado)	ID de firma (encabezado) (motivo)	Resultado		security_result.summary
Ruta de configuración (path)	msg	ConfigurationPath		principal.process.command_line
Detalle del antes del cambio (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
Detalle después del cambio (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Grupo de dispositivos (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Comentario de auditoría (comentario)	PanOSPolicyAuditComment		comentario	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value

Amenaza/WildFire

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de amenazas/WildFire y sus campos de UDM correspondientes.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si no hay "Generate Time")
Número de serie	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	gato		metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	cat/subtype (encabezado)	Subtipo		metadata.product_event_type
Hora de generación (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Dirección de origen (src)	src	src		principal.ip
Dirección de destino (dst)	DST	DST		target.ip
IP de origen de NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino de NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nombre de la regla (rule)	cs1	RuleName		security_result.rule_name
Usuario de origen (srcuser)	Suser	SourceUser / usrName		principal.user.userid
Usuario de destino (dstuser)	ducha	DestinationUser		target.user.userid
Aplicación (app)	app	Aplicación		target.application
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Zona de origen (desde)	cs4	SourceZone	de	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Zona de destino (hasta)	cs5	DestinationZone	a	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz de salida (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Acción de registro (conjunto de registros)	cs6	LogForwardingProfile	conjunto de registros	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión (sessionid)	cn1	SessionID		network.session_id
Recuento de repetición (repetición)	cnt	RepeatCount	repeatcnt	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Puerto de origen (sport)	spt	srcPort		principal.port
Puerto de destino (dport)	dpt	dstPort		target.port
Puerto de origen NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Puerto de destino de NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Marcas	flexString1	Marcas	flags	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Protocolo IP (proto)	protocolo	protocolo		network.ip_protocol
Acción	actuar	acción		security_result.action_details security_result.action
URL o nombre del archivo (misc)	solicitud	Varios		target.file.full_path (si el subtipo es "file", "virus", "wildfire-virus" o "wildfire", el campo "misc" se asigna a target.file.full_path) target.url (si el subtipo es "url", el campo "misc" se asigna a target.url y target.hostname) target.hostname (si el subtipo es "spyware" o "vulnerability", el campo "misc" se asigna a target.file.full_path y target.url)
Nombre de contenido o amenaza (Threatid)	gato	ThreatID		security_result.threat_name
Categoría	cs2	URLCategory		security_result.category_details
Gravedad	number-of-severity(header)	Gravedad		security_result.severity y security_result.severity_details
Dirección	flexString2	Dirección		network.direction
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
País de origen (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
Tipo de contenido		ContentType	contenttype	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de PCAP (pcap_id)	ID del archivo	PCAP_ID	pcap_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Resumen de archivos (filedigest)	fileHash	FileDigest		acerca del archivo.sha1/md5/sha256
Nube (cloud)	filePath	Nube	nube	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Índice de URL (url_idx)		URLIndex	url_idx	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Usuario-agente (user_agent)				network.http.user_agent
Tipo de archivo (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
URL de referencia				network.http.referral_url
Remitente (sender)	suid	Remitente		network.email.from
Asunto (subject)	msg	Asunto		network.email.subject
Destinatario (destinatario)	duid	Destinatario		network.email.to
ID del informe (reportid)	oldFileId	ReportID	reportid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
UUID de la VM de origen (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID de la VM de destino (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
Método HTTP (http_method)		RequestMethod		network.http.method
ID de túnel/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Etiqueta de supervisión/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión superior (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Hora de inicio de la sesión principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tipo de túnel (túnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Categoría de amenaza (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Versión de contenido (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de asociación de SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de protocolo de carga útil (ppid)	PanOSPPID		ppid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Encabezados HTTP (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Lista de categorías de URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
UUID de la regla (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Conexión HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre dinámico del grupo de usuarios (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Dirección XFF (xff_ip)	PanXFFIP			principal.ip
Categoría del dispositivo de origen (src_category)	PanSrcDeviceCat		src_category	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Perfil del dispositivo de origen (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Modelo del dispositivo de origen (src_model)	PanSrcDeviceModel		src_model	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor del dispositivo de origen (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Familia del SO del dispositivo de origen (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Versión del SO del dispositivo de origen (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nombre de host de origen (src_host)	PanSrcHostname			principal.hostname
Dirección MAC de origen (src_mac)	PanSrcMac			principal.mac
Categoría del dispositivo de destino (dst_category)	PanDstDeviceCat		dst_category	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Perfil de dispositivo de destino (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Modelo del dispositivo de destino (dst_model)	PanDstDeviceModel		dst_model	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor de dispositivos de destino (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Familia de SO de los dispositivos de destino (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Versión del SO del dispositivo de destino (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nombre de host de destino (dst_host)	PanDstHostname			target.hostname
Dirección MAC de destino (dst_mac)	PanDstMac			target.mac
ID del contenedor (container_id)	PanContainerName		container_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Espacio de nombres del POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del POD (pod_name)	PanPODName		pod_name	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de origen (src_edl)	PanSrcEDL		src_edl	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de destino (dst_edl)	PanDstEDL		dst_edl	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de host (hostid)	PanGPHostID		hostid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Número de serie del dispositivo de usuario	PanEPSerial			principal.asset.hardware.serial_number
EDL de dominio (domain_edl)	PanDomainEDL		domain_edl	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Grupo de direcciones dinámicas de origen (src_dag)	PanSrcDAG			principal.group.group_display_name
Grupo de direcciones dinámico de destino (dst_dag)	PanDstDAG			target.group.group_display_name
Hash parcial (partial_hash)	PanPartialHash		partial_hash	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Marca de tiempo de alta resolución (marca_de_tiempo_alta_res)	PanTimeHighRes		marca de tiempo de alta resolución	metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Motivo (reason)	PanReasonFilteringAction		Reason	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Justificación (justificación)	PanJustification		justificación	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Un tipo de servicio de Slice (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Subcategoría de la aplicación (subcategory_of_app)			subcategory_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Categoría de aplicación (category_of_app)			category_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tecnología de la aplicación (technology_of_app)			technology_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Riesgo de la aplicación (risk_of_app)			risk_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Característica de la aplicación (characteristic_of_app)			characteristic_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Contenedor de la aplicación (container_of_app)			container_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
SaaS de aplicación (is_saas_of_app)			is_saas_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Estado de aplicación sancionada (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value

Tráfico

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de tráfico y sus campos de UDM correspondientes.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	cat/Type		metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Hora generada (time_generated o cef-formatted-time_generated)	start			metadata.event_timestamp
Dirección de origen (src)	src	src		principal.ip
Dirección de destino (dst)	DST	DST		target.ip
IP de origen de NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino de NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nombre de la regla (rule)	cs1	RuleName		security_result.rule_name
Usuario de origen (srcuser)	suser	SourceUser		principal.user.userid
Usuario de destino (dstuser)	ducha	DestinationUser		target.user.userid
Aplicación (app)	app	Aplicación		target.application
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Zona de origen (desde)	cs4	SourceZone	de	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Zona de destino (hasta)	cs5	DestinationZone	a	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz de salida (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Acción de registro (conjunto de registros)	cs6	LogForwardingProfile	conjunto de registros	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión (sessionid)	cn1	SessionID		network.session_id
Recuento de repetición (repetición)	cnt	RepeatCount	repeatcnt	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Puerto de origen (sport)	spt	srcPort		principal.port
Puerto de destino (dport)	dpt	dstPort		target.port
Puerto de origen NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Puerto de destino de NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Marcas	flexString1	Marcas	flags	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Protocolo IP (proto)	protocolo	protocolo		network.ip_protocol
Acción	actuar	acción		security_result.action_details security_result.action
Bytes (bytes)	flexNumber1	totalBytes	bytes	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Bytes enviados (bytes_sent)	en	srcBytes		network.sent_bytes
Bytes recibidos (bytes_received)	Salida	dstBytes		network.received_bytes
Paquetes (paquetes)	cn2	totalPackets	paquetes	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Hora de inicio (inicio)		StartTime	start	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tiempo transcurrido (transcurrido)	cn3	ElapsedTime	transcurrido	network.session_duration.seconds
Categoría	cs2	URLCategory		security_result.category / security_result.category_details
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
País de origen (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
Paquetes enviados (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Paquetes recibidos (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Motivo de finalización de la sesión (session_end_reason)	Reason	SessionEndReason		security_result.summary
Jerarquía del grupo de dispositivos 1 (de dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Fuente de la acción (action_source)	gato	ActionSource	action_source	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
UUID de la VM de origen (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID de la VM de destino (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
ID de túnel/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Etiqueta de supervisión/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión superior (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Hora de inicio del elemento superior (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tipo de túnel (túnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de asociación de SCTP (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Fragmentos de SCTP (fragmentos)	PanOSSCTPChunks		trozos	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Fragmentos SCTP enviados (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Fragmentos SCTP recibidos (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
UUID de la regla (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Conexión HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Recuento de aletas de app (link_change_count)	PanLinkChange		link_change_count	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de la política (policy_id)	PanPolicyID		policy_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Interruptores de vínculo (link_switches)	PanLinkDetail		link_switches	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Clúster de SD-WAN (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tipo de dispositivo SD-WAN (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tipo de clúster de SD-WAN (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Sitio de SD-WAN (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre dinámico del grupo de usuarios (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Dirección XFF (xff_ip)	PanXFFIP			principal.ip
Categoría del dispositivo de origen (src_category)	PanSrcDeviceCat		src_category	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Perfil del dispositivo de origen (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Modelo del dispositivo de origen (src_model)	PanSrcDeviceModel		src_model	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor del dispositivo de origen (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Familia del SO del dispositivo de origen (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Versión del SO del dispositivo de origen (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nombre de host de origen (src_host)	PanSrcHostname			principal.hostname
Dirección MAC de origen (src_mac)	PanSrcMac			principal.mac
Categoría del dispositivo de destino (dst_category)	PanDstDeviceCat		dst_category	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Perfil de dispositivo de destino (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Modelo del dispositivo de destino (dst_model)	PanDstDeviceModel		dst_model	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor de dispositivos de destino (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Familia de SO de los dispositivos de destino (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Versión del SO del dispositivo de destino (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nombre de host de destino (dst_host)	PanDstHostname			target.hostname
Dirección MAC de destino (dst_mac)	PanDstMac			target.mac
ID del contenedor (container_id)	PanContainerName		container_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Espacio de nombres del POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del POD (pod_name)	PanPODName		pod_name	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de origen (src_edl)	PanSrcEDL		src_edl	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de destino (dst_edl)	PanDstEDL		dst_edl	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
ID de host (hostid)	PanGPHostID		hostid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Número de serie del dispositivo de usuario	PanEPSerial			principal.asset.hardware.serial_number
Grupo de direcciones dinámicas de origen (src_dag)	PanSrcDAG			principal.group.group_display_name
Grupo de direcciones dinámico de destino (dst_dag)	PanDstDAG			target.group.group_display_name
Propietario de la sesión (session_owner)	PanHASessionOwner		session_owner	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Marca de tiempo de alta resolución (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Un tipo de servicio de Slice (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Un diferenciador de Slice (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Subcategoría de la aplicación (subcategory_of_app)			subcategory_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Categoría de aplicación (category_of_app)			category_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tecnología de la aplicación (technology_of_app)			technology_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Riesgo de la aplicación (risk_of_app)				security_result.severity
Característica de la aplicación (characteristic_of_app)			characteristic_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Contenedor de la aplicación (container_of_app)			container_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
SaaS de aplicación (is_saas_of_app)			is_saas_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Estado de aplicación sancionada (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Subcategoría de la aplicación (subcategory_of_app)			subcategory_of_app1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value

User-ID

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de ID de usuario y sus campos de UDM correspondientes.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	gato		metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Hora generada (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
IP de origen	src	src		principal.ip
Usuario (user)	ducha	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Nombre de la fuente de datos (nombre de la fuente de datos)	cs4	DataSourceName	datasourcename	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
ID de evento (eventid)		EventID	eventid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Recuento de repetición (repetición)	cnt	RepeatCount	repeatcnt	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Umbral de tiempo de espera agotado	cn3	TimeoutThreshold	tiempo de espera agotado	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Puerto de origen (beginport)	spt	srcPort		principal.port
Puerto de destino (puerto final)	dpt	dstPort		target.port
Fuente de datos (datasource)	cs5	DataSource	fuente de datos	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Tipo de fuente de datos (tipo de fuente de datos)	cs6	DataSourceType	datasourcetype	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID del sistema virtual (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Tipo de factor (factortype)	cs1	FactorType	factortype	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tiempo de finalización del factor (tiempo de finalización del factor)	end	FactorCompletionTime	factorcompletiontime	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Número de factor (factorno)	cn1	FactorNumber	Factorno	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Marcas de grupos de usuarios (ugflags)	PanOSUGFlags		ugflags	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Usuario por fuente (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Marca de tiempo de alta resolución (marca de tiempo de alta resolución)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)

Coincidencia con HIP

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de coincidencia de HIP y sus campos de UDM correspondientes.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	gato		metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtype (Header)	Subtipo
Hora generada (time_generated o cef-formatted-time_generated)	start	startTime		metadata.event_timestamp
Usuario de origen (srcuser)	Suser	usrName		principal.user.userid
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre de la máquina (machinename)	shost	identHostName		principal.hostname
Sistema operativo (SO)	cs2	SO		principal.asset.platform_software.platform
Dirección de origen (src)	src	identsrc		principal.ip
HIP (matchname)	gato	HIP	matchname	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Recuento de repetición (repetición)	cnt	RepeatCount	repeatcnt	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tipo de HIP (tipo de concordancia)	ID de clase de evento del dispositivo (encabezado)	HIPType	tipo de concordancia	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID del sistema virtual (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id
Dirección del sistema IPv6 (srcipv6)	c6a2	srcipv6		principal.asset.ip
ID de host (hostid)	PanOSHostID			principal.asset.product_object_id
Número de serie del dispositivo del usuario (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
Dirección MAC del dispositivo (mac)	PanOSEndpointMac			principal.asset.mac
Marca de tiempo de alta resolución (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si no hay "Generate Time")

Etiqueta de IP

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de la etiqueta de IP y sus campos de UDM correspondientes.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	gato		metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Hora de generación (time_generated o cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
IP de origen	src	src		principal.ip
Nombre de la etiqueta (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
ID de evento (event_id)	PanOSEventID	EventID	event_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Recuento de repetición (repetición)	cnt	RepeatCount	repeatcnt	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tiempo de espera	PanOSTimeout	TimeoutThreshold	tiempo de espera agotado	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre de la fuente de datos (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Tipo de fuente de datos (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Subtipo de fuente de datos (pipeline_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID del sistema virtual (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id
Marca de tiempo de alta resolución (marca_de_tiempo_alta_res)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si no hay "Generate Time")

Desencriptación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de desencriptación y sus correspondientes campos de UDM.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie (serial)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)			metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtipo (encabezado)			metadata.product_event_type
Versión de configuración (config_ver)	PanOSConfigVersion		config_ver	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Hora de generación (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Dirección de origen (src)	src			principal.ip
Dirección de destino (dst)	DST			target.ip
IP de origen de NAT (natsrc)	sourceTranslatedAddress			principa.nat_ip
IP de destino de NAT (natdst)	destinationTranslatedAddress			target.nat_ip
Regla (regla)	cs1			security_result.rule_name
Usuario de origen (srcuser)	suser			principal.user.userid
Usuario de destino (dstuser)	ducha			target.user.userid
Aplicación (app)	app			target.application
Sistema virtual (vsys)	cs3		vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Zona de origen (desde)	cs4		de	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Zona de destino (hasta)	cs5		a	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz entrante (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz de salida (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Acción de registro (conjunto de registros)	cs6		conjunto de registros	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Hora de registro (time_received)	PanOSTimeReceivedManagementPlane			-
ID de sesión (ID de sesión)	cn1			network.session_id
Recuento de repetición (repetición)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Puerto de origen (sport)	spt			principal.port
Puerto de destino (dport)	dpt			target.port
Puerto de origen NAT (natsport)	sourceTranslatedPort			principal.nat_port
Puerto de destino de NAT (natdport)	destinationTranslatedPort			target.nat_port
Marcas	flexString1		flags	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Protocolo IP (proto)	protocolo			network.ip_protocol
Acción	actuar			security_result.action_details security_result.action
Túnel (túnel)	PanOSTunnel		túnel	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
UUID de la VM de origen (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID de la VM de destino (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID de la regla (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Etapa del cliente al firewall (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Etapa de firewall a servidor (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Versión de TLS (tls_version)	PanOSTLSVersion			network.tls.version
Algoritmo de intercambio de claves (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Algoritmo de encriptación (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Algoritmo hash (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre de la política (policy_name)	PanOSPolicyName		policy_name	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Curva elíptica (ec_curve)	PanOSEllipticCurve			network.tls.curve
Índice de error (err_index)	PanOSErrorIndex		err_index	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Estado de raíz (root_status)	PanOSRootStatus		root_status	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Estado de la cadena (chain_status)	PanOSChainStatus		chain_status	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tipo de proxy (proxy_type)	PanOSProxyType		proxy_type	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Número de serie del certificado (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Huella digital del certificado	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Fecha de inicio del certificado (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Fecha de finalización del certificado (notafter)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Versión del certificado (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Tamaño del certificado (cert_size)	PanOSCertificateSize		cert_size	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Longitud del nombre común (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Longitud del nombre común de la entidad emisora (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Longitud del nombre común raíz (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Longitud de SNI (sni_len)	PanOSSNILength		sni_len	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Marcas de certificado (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre común del asunto (CN)	PanOSCommonName		cn	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre común de la entidad emisora (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Nombre común raíz (root_cn)	PanOSRootCommonName		root_cn	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Indicación del nombre del servidor (sni)				network.tls.client.server_name
Error (error)	PanOSErrorMessage		error	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID del contenedor (container_id)	PanOSContainerID		container_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Espacio de nombres del POD (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del Pod (pod_name)	PanOSContainerName		pod_name	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de origen (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de destino (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Grupo de direcciones dinámicas de origen (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Grupo de direcciones dinámico de destino (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Marca de tiempo de alta resolución (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si no hay "Generate Time")
Categoría del dispositivo de origen (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Perfil del dispositivo de origen (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Modelo del dispositivo de origen (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor del dispositivo de origen (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Familia del SO del dispositivo de origen (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key y principal.labels.value
Versión de SO del dispositivo de origen (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nombre de host de origen (src_host)	PanOSSourceDeviceHost			principal.hostname
Dirección MAC de origen (src_mac)	PanOSSourceDeviceMac			principal.mac
Categoría del dispositivo de destino (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Perfil de dispositivo de destino (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Modelo de dispositivo de destino (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor de dispositivos de destino (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Familia de SO de los dispositivos de destino (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Versión del SO del dispositivo de destino (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Nombre de host de destino (dst_host)	PanOSDestinationDeviceHost			target.hostname
Dirección MAC de destino (dst_mac)	PanOSDestinationDeviceMac			target.mac
Número de secuencia (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Marcas de acción	PanOSActionFlags		marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)				intermediary.hostname
ID del sistema virtual (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Subcategoría de aplicación (subcategory_of_app)			subcategory_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Categoría de aplicación (category_of_app)			category_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tecnología de la aplicación (technology_of_app)			technology_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Riesgo de la aplicación (risk_of_app)				security_result.severity
Característica de la aplicación (characteristic_of_app)			characteristic_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Contenedor de la aplicación (container_of_app)			container_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
SaaS de aplicación (is_saas_of_app)			is_saas_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Estado de aplicación sancionada (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value

Túnel

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de túnel y sus campos de UDM correspondientes.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	gato		metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Hora generada (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Dirección de origen (src)	src	src		principal.ip
Dirección de destino (dst)	DST	DST		target.ip
IP de origen de NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino de NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nombre de la regla (rule)	cs1	RuleName		security_result.rule_name
Usuario de origen (srcuser)	Suser	SourceUser / usrName		principal.user.userid
Usuario de destino (dstuser)	ducha	DestinationUser		target.user.userid
Aplicación (app)	app	Aplicación		network.application_protocol
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Zona de origen (desde)	cs4	SourceZone	de	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Zona de destino (hasta)	cs5	DestinationZone	a	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz de salida (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Acción de registro (conjunto de registros)	cs6	LogForwardingProfile	conjunto de registros	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión (sessionid)	cn1	SessionID		network.session_id
Recuento de repetición (repetición)	cnt	RepeatCount	repeatcnt	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Puerto de origen (sport)	spt	srcPort		principal.port
Puerto de destino (dport)	dpt	dstPort		target.port
Puerto de origen NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Puerto de destino de NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Marcas	flexString1	Marcas	flags	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Protocolo IP (proto)	protocolo	protocolo		network.ip_protocol
Acción	actuar	acción		security_result.action_details security_result.action
Gravedad				security_result.severity y security_result.severity_details
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Ubicación de la fuente (srcloc)				principal.location.country_or_region
Ubicación de destino (dstloc)				target.location.country_or_region
Jerarquía del grupo de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID de túnel (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Etiqueta de supervisión (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión superior (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Hora de inicio del elemento superior (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tipo de túnel (túnel)	cs2	TunnelType	túnel	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Bytes (bytes)	flexNumber1	totalBytes	bytes	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Bytes enviados (bytes_sent)	en	srcBytes		network.sent_bytes
Bytes recibidos (bytes_received)	Salida	dstBytes		network.received_bytes
Paquetes (paquetes)	cn2	totalPackets	paquetes	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Paquetes enviados (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Paquetes recibidos (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Encapsulamiento máximo (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Protocolo desconocido (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Verificación estricta (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Fragmento de túnel (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Sesiones creadas (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Sesiones cerradas (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Motivo de finalización de la sesión (session_end_reason)	Reason	SessionEndReason		security_result.summary
Fuente de la acción (action_source)	gato	ActionSource	action_source	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Hora de inicio (inicio)		startTime	start	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tiempo transcurrido (transcurrido)	cn3	ElapsedTime	transcurrido	network.session_duration.seconds
Regla de inspección de túnel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
IP de usuario remoto (remote_user_ip)	PanOSRmtUserIP			target.ip
ID de usuario remoto (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
UUID de la regla de seguridad (rule_uuid)	PanOSRuleUUID			security_result.rule_id
ID de PCAP (pcap_id)	PanOSPcapID		pcap_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre dinámico del grupo de usuarios (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Lista dinámica externa de origen (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de destino (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Marca de tiempo de alta resolución (marca de tiempo de alta resolución)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si no hay "Generate Time")
Diferenciador de Slice (nssai_sd)			nssai_sd	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Un tipo de servicio de Slice (nssai_sd)			nssai_sd1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión de la PDU (pdu_session_id)			pdu_session_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Subcategoría de la aplicación (subcategory_of_app)			subcategory_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Categoría de aplicación (category_of_app)			category_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tecnología de la aplicación (technology_of_app)			technology_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Riesgo de la aplicación (risk_of_app)			risk_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Característica de la aplicación (characteristic_of_app)			characteristic_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Contenedor de la aplicación (container_of_app)			container_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
SaaS de aplicación (is_saas_of_app)			is_saas_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Estado de aplicación sancionada (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value

Autenticación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de autenticación y sus campos de UDM correspondientes.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time o cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	gato		metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Hora generada (time_generated o cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
IP de origen	src	src		principal.ip
Usuario (user)	ducha	usrName		target.user.userid
Normalizar usuario (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Objeto (objeto)	fname	ObjectName	objeto	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Política de autenticación (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Recuento de repetición (repetición)	cnt	RepeatCount	repeatcnt	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de autenticación (authid)	cn2	AuthenticationID	authid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor	flexString2	Proveedor	vendor	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Acción de registro (conjunto de registros)	cs6	LogForwardingProfile	conjunto de registros	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Perfil del servidor (perfil del servidor)	cs1	ServerProfile	serverprofile	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Descripción (en orden descendente)	PanOSDesc	AdditionalAuthInfo		security_result.description
Tipo de cliente (clienttype)	cs5	ClientType	clienttype	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tipo de evento (evento)	msg	msg		extensions.auth.auth_details
Número de factor (factorno)	cn1	FactorNumber	Factorno	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID del sistema virtual (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id
Protocolo de autenticación (authproto)			authproto	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
UUID de la regla (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Marca de tiempo de alta resolución (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si no hay "Generate Time")
Categoría del dispositivo de origen (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Perfil del dispositivo de origen (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Modelo del dispositivo de origen (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor del dispositivo de origen (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Familia del SO del dispositivo de origen (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Versión de SO del dispositivo de origen (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nombre de host de origen (src_host)	PanOSSourceHostname			principal.hostname
Dirección MAC de origen (src_mac)	PanOSSourceMac			principal.asset.mac
Región (región)	PanOSTrafficOriginRegion			principal.location.country_or_region
Usuario-agente (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
ID de sesión(ID de sesión)	PanOSTrafficSessionID			network.session_id

URL

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de URL y sus campos de UDM correspondientes.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie (serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	gato		metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Hora de generación				metadata.event_timestamp
Dirección de origen (src)	src	src		principal.ip
Dirección de destino (dst)	DST	DST		target.ip
IP de origen de NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino de NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regla (regla)	cs1	RuleName		security_result.rule_name
Usuario de origen (srcuser)	suser	SourceUser		principal.user.userid
Usuario de destino (dstuser)	ducha	DestinationUser		target.user.userid
Aplicación (app)	app	Aplicación		network.application_protocol
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Zona de origen (desde)	cs4	SourceZone	de	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Zona de destino (hasta)	cs5	DestinationZone	a	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz de salida (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Acción de registro (conjunto de registros)	cs6	LogForwardingProfile	conjunto de registros	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Hora de registro			time_logged	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión (sessionid)	cn1	SessionID		network.session_id
Recuento de repetición (repetición)	cnt	RepeatCount	repeatcnt	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Puerto de origen (sport)	spt	srcPort		principal.port
Puerto de destino (dport)	dpt	dstPort		target.port
Puerto de origen NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Puerto de destino de NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Marcas	flexString1	Marcas	flags	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Protocolo IP (proto)	protocolo	protocolo		network.ip_protocol
Acción	actuar	acción		security_result.action_details security_result.action
URL/Nombre de archivo (varios)		Varios		target.file.full_path target.url
Nombre de contenido o amenaza (Threatid)	gato	ThreatID		security_result.threat_id
Categoría (category)	cs2	URLCategory	category	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Gravedad	number-of-severity (encabezado)	Gravedad		security_result.severity security_result.severity_details
Dirección	flexString2	Dirección		network.direction
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
País de origen (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
tipodecontenido	requestContext	ContentType	contenttype	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
pcap_id (id de pcap_id)	ID del archivo	PCAP_ID	pcap_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
filedigest (resumen de archivos)		FileDigest		acerca del archivo.sha1/md5/sha256
nube (cloud)		Nube	nube	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
tipo de archivo (tipo de archivo)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
URL de referencia	PanOSReferer	Referencia		network.http.referral_url
remitente (sender)				network.email.from
asunto		Asunto		network.email.subject
destinatario				network.email.to
reportid (ID de informe)			reportid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía de la DG, nivel 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nivel 2 de la jerarquía de la DG (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía de DG, nivel 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía de DG, nivel 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID de la VM de origen (src_uuid)		SrcUUID		principal.asset.asset_id
UUID de la VM de destino (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
ID de túnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Supervisar Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión superior (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Hora de inicio de la sesión principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Túnel (túnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de asociación de SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de protocolo de carga útil (ppid)	PanOSPPID		ppid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Lista de categorías de URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
UUID para la regla (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Conexión HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
dynusergroup_name (nombre_grupo_usuarios)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Dirección XFF (xff_ip)	PanXFFIP			principal.ip
Categoría del dispositivo de origen (src_category)	PanSrcDeviceCat		src_category	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Perfil del dispositivo de origen (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Modelo del dispositivo de origen (src_model)	PanSrcDeviceModel		src_model	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor del dispositivo de origen (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Familia del SO del dispositivo de origen (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Versión del SO del dispositivo de origen (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nombre de host de origen (src_host)	PanSrcHostname		src_host	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Dirección MAC de origen (src_mac)	PanSrcMac			principal.mac
Categoría del dispositivo de destino (dst_category)	PanDstDeviceCat		dst_category	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Perfil de dispositivo de destino (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Modelo del dispositivo de destino (dst_model)	PanDstDeviceModel		dst_model	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor de dispositivos de destino (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Familia de SO de los dispositivos de destino (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key y target.labels.value
Versión del SO del dispositivo de destino (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nombre de host de destino (dst_host)	PanPODNamespace			target.hostname
Dirección MAC de destino (dst_mac)	PanDstMac			target.mac
ID del contenedor (container_id)	PanContainerName		container_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Espacio de nombres del POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del POD (pod_name)	PanPODName		pod_name	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de origen (src_edl)	PanSrcEDL		src_edl	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de destino (dst_edl)	PanDstEDL		dst_edl	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
ID de host (hostid)	PanGPHostID		hostid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Número de serie	PanEPSerial			principal.asset.hardware.serial_number
dominio_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Grupo de direcciones dinámicas de origen (src_dag)	PanSrcDAG			principal.group.group_display_name
Grupo de direcciones dinámico de destino (dst_dag)	PanDstDAG			target.group.group_display_name
parcial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Marca de tiempo de alta resolución (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Motivo (reason)	PanReasonFilteringAction		Reason	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
justificación (justificación)	PanJustification		justificación	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Subcategoría de la aplicación (subcategory_of_app)			subcategory_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Categoría de la app (category_of_app)			category_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tecnología de la app (technology_of_app)			technology_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Riesgo de la app (risk_of_app)			risk_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Característica de la app (characteristic_of_app)			characteristic_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Contenedor de la aplicación (container_of_app)			container_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Aplicación tunelizada (tunneled_app)			tunneled_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
SaaS de la app (is_saas_of_app)			is_saas_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Estado de la app sancionada (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value

Datos

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de datos y sus campos de UDM correspondientes.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Número de serie (serie)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)	gato		metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Hora de generación				metadata.event_timestamp
Dirección de origen (src)	src	src		principal.ip
Dirección de destino (dst)	DST	DST		target.ip
IP de origen de NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino de NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regla (regla)	cs1	RuleName		security_result.rule_name
Usuario de origen (srcuser)	suser	SourceUser		principal.user.userid
Usuario de destino (dstuser)	ducha	DestinationUser		target.user.userid
Aplicación (app)	app	Aplicación		network.application_protocol
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Zona de origen (desde)	cs4	SourceZone	de	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Zona de destino (hasta)	cs5	DestinationZone	a	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz entrante (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Interfaz de salida (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Acción de registro (conjunto de registros)	cs6	LogForwardingProfile	conjunto de registros	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Hora de registro			time_logged	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión (sessionid)	cn1	SessionID		network.session_id
Recuento de repetición (repetición)	cnt	RepeatCount	repeatcnt	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Puerto de origen (sport)	spt	srcPort		principal.port
Puerto de destino (dport)	dpt	dstPort		target.port
Puerto de origen NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Puerto de destino de NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Marcas	flexString1	Marcas	flags	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Protocolo IP (proto)	protocolo	protocolo		network.ip_protocol
Acción	actuar	acción		security_result.action_details security_result.action
URL/Nombre de archivo (varios)		Varios		target.file.full_path target.url
Nombre de contenido o amenaza (Threatid)	gato	ThreatID		security_result.threat_id
Categoría (category)	cs2	URLCategory	category	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Gravedad	number-of-severity (encabezado)	Gravedad		security_result.severity security_result.severity_details
Dirección	flexString2	Dirección		network.direction
Número de secuencia (seqno)	externalId	secuencia		metadata.product_log_id
Marcas de acción	PanOSActionFlags	ActionFlags	marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
País de origen (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
pcap_id (id de pcap_id)	ID del archivo	PCAP_ID	pcap_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
filedigest (resumen de archivos)		FileDigest		acerca del archivo.sha1/md5/sha256
nube (cloud)		Nube	nube	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
tipo de archivo (tipo de archivo)				about.file.mime_type
xff (xff)			xff	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
referer (referencia)				network.http.referral_url
remitente (sender)				network.email.from
asunto		Asunto		network.email.subject
destinatario				network.email.to
reportid (ID de informe)			reportid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía de la DG, nivel 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nivel 2 de la jerarquía de la DG (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía de DG, nivel 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía de DG, nivel 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID de la VM de origen (src_uuid)		SrcUUID		principal.asset.asset_id
UUID de la VM de destino (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
ID de túnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Supervisar Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de sesión superior (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Hora de inicio de la sesión principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Túnel (túnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	Contentver	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de asociación de SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de protocolo de carga útil (ppid)	PanOSPPID		ppid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Lista de categorías de URL (url_category_list)			url_category_list	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
UUID para la regla (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Conexión HTTP/2 (http2_connection)			http2_connection	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
dynusergroup_name (nombre_grupo_usuarios)			dynusergroup_name	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Dirección XFF (xff_ip)				principal.ip
Categoría del dispositivo de origen (src_category)			src_category	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Perfil de dispositivo de origen (src_profile)			src_profile	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Modelo del dispositivo de origen (src_model)			src_model	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor de dispositivos de origen (src_vendor)			src_vendor	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Familia de SO del dispositivo de origen (src_osfamily)				principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Versión del SO del dispositivo de origen (src_osversion)				principal.asset.software.version
Nombre de host de origen (src_host)			src_host	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Dirección MAC de origen (src_mac)				principal.mac
Categoría de dispositivo de destino (dst_category)			dst_category	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Perfil de dispositivo de destino (dst_profile)			dst_profile	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Modelo de dispositivo de destino (dst_model)			dst_model	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Proveedor del dispositivo de destino (dst_vendor)			dst_vendor	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
Familia del SO del dispositivo de destino (dst_osfamily)				target.asset.platform_software.platform target.labels.key y target.labels.value
Versión del SO del dispositivo de destino (dst_osversion)				target.asset.software.version
Nombre de host de destino (dst_host)				target.hostname
Dirección MAC de destino (dst_mac)				target.mac
ID del contenedor (container_id)			container_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Espacio de nombres del Pod (pod_namespace)			pod_namespace	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del Pod (pod_name)			pod_name	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de origen (src_edl)			src_edl	principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value
Lista dinámica externa de destino (dst_edl)			dst_edl	target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value
ID de host (hostid)			hostid	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Número de serie (serialnumber)				principal.asset.hardware.serial_number
dominio_edl (domain_edl)			domain_edl	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Grupo de direcciones dinámicas de origen (src_dag)				principal.group.group_display_name
Grupo de direcciones dinámicas de destino (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Marca de tiempo de alta resolución (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Motivo (reason)			Reason	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
justificación			justificación	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Subcategoría de la aplicación (subcategory_of_app)			subcategory_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Categoría de la app (category_of_app)			category_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tecnología de la app (technology_of_app)			technology_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Riesgo de la app (risk_of_app)			risk_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Característica de la app (characteristic_of_app)			characteristic_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Contenedor de la aplicación (container_of_app)			container_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Aplicación tunelizada (tunneled_app)			tunneled_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
SaaS de la app (is_saas_of_app)			is_saas_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Estado de la app sancionada (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value

GlobalProtect

En la siguiente tabla, se enumeran los campos de registro del tipo de registro GlobalProtect y sus correspondientes campos de UDM.

Campo CSV	Campo CEF	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de recepción (receive_time)	rt		received_time	metadata.event_timestamp
Número de serie (serial)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Tipo (type)	tipo (encabezado)			metadata.product_event_type
Amenaza/tipo de contenido (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Hora de generación (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Sistema virtual (vsys)	PanOSVirtualSystem		vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
ID de evento (eventid)	PanOSEventID		event_id	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Etapa (etapa)	PanOSStage		de este proceso,	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Método de autenticación (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Tipo de túnel (tunnel_type)	PanOSTunnelType		túnel	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Usuario de origen (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Región de origen (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Nombre de la máquina (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
IP pública (public_ip)	PanOSPublicIPv4			principal.nat_ip
IPv6 pública (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
IP privada (private_ip)	PanOSPrivateIPv4			principal.ip
IPv6 privado (private_ipv6)	PanOSPrivateIPv6			principal.ip
ID de host (hostid)	PanOSHostID		hostid	principal.asset.asset_id
Número de serie (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
Versión del cliente (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
SO del cliente (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Versión del SO del cliente (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Cantidad de repeticiones (repeatcnt)	PanOSCountOfRepeats		repetido	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Motivo (reason)	PanOSQuarantineReason			security_result.summary
Error (error)	PanOSConnectionError		error	security_result.description
Descripción (opaco)	PanOSDescription			security_result.description
Estado	PanOSEventStatus		estado	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Ubicación (ubicación)	PanOSGPGatewayLocation			target.location.country_or_region
Duración del acceso (login_duration)	PanOSLoginDuration			network.session_duration
Método de conexión (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Código de error (error_code)	PanOSConnectionErrorID		error_code	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Portal	PanOSPortal		portal	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Número de secuencia (seqno)	PanOSSequenceNo			metadata.product_log_id
Marcas de acción	PanOSActionFlags		marcas de acción	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Marca de tiempo de alta resolución (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (si la opción "Generate Time" está ausente)
Método de selección de la puerta de enlace (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Tiempo de respuesta de SSL (response_time)	PanOSSSLResponseTime		response_time	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Prioridad de la puerta de enlace (priority)	PanOSGatewayPriority		priority	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Puertas de enlace intentadas (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre de la puerta de enlace (puerta de enlace)	PanOSAttemptedGateways		puerta de enlace	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_1)			dg_hier_level_1	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_2)			dg_hier_level_2	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_3)			dg_hier_level_3	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Jerarquía del grupo de dispositivos (dg_hier_level_4)			dg_hier_level_4	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)				target.hostname
ID del sistema virtual (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id

Correlación

En la siguiente tabla, se enumeran los campos de registro del tipo de registro de correlación y sus campos de UDM correspondientes.

Campo CSV	Campo LEEF	Clave de etiqueta de Google Security Operations	Campo de UDM
Hora de generación (time_generated o cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Dirección de origen (src)	src		principal.ip
Usuario de origen (srcuser)	SourceUser / usrName		principal.user.userid
Sistema virtual (vsys)	VirtualSystem	vsys	about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Categoría (category)			security_result.category_details
Gravedad (severity)	Gravedad		security_result.severity y security_result.severity_details
Nivel 1 de la jerarquía de grupos de dispositivos	DeviceGroupHierarchyL1		about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nivel 2 de la jerarquía del grupo de dispositivos	DeviceGroupHierarchyL2		about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nivel 3 de la jerarquía de grupos de dispositivos	DeviceGroupHierarchyL3		about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nivel de jerarquía del grupo de dispositivos 4	DeviceGroupHierarchyL4		about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value
Nombre del sistema virtual (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nombre del dispositivo (device_name)	DeviceName		intermediary.hostname
ID del sistema virtual (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Nombre del objeto (objectname)	ObjectName		target.resource.name
ID de objeto (object_id)	ObjectID		target.resource.product_object_id

Referencia de asignación de campos: Tipos de registro a tipo de evento de la AUA

En la siguiente tabla, se enumeran los tipos de registros de firewall de Palo Alto Networks y sus correspondientes tipos de eventos de UDM.

Tipo de registro	Tipo de evento de la AUA
Tráfico	NETWORK_CONNECTION
Amenaza	NETWORK_CONNECTION
Filtrado de URLs	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Los registros de envío de WildFire son un subtipo de tipo de registro de amenazas y usan los mismos syslog.
Filtrado de datos	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
Configuración	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED El valor del campo "Command (cmd)" determina la asignación del tipo de evento de la AUA. Si el valor del campo cmd es add o clone, se establece SETTING_CREATION. Si se borra el valor del campo cmd, se establece SETTING_DELETION. Si el valor del campo cmd es editar, mover, cambiar el nombre, establecer o confirmar, Se estableció SETTING_MODIFICATION. Si el valor del campo cmd no contiene ningún valor, entonces SETTING_UNCATEGORIZED esté establecida.
Sistema	Si el valor del subtipo es "dhcp", se establece NETWORK_DHCP. Si el valor del subtipo es "auth", entonces se establece USER_ACCESS. Si el valor de la descripción es “accedido”, se establece USER_ACCESS. Si el valor de la descripción es "salió de la cuenta", se establece USER_LOGOUT. Para otros valores del subtipo, se establece GENERIC_EVENT.
Coincidencia con HIP	NETWORK_CONNECTION
Etiqueta de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Si el valor del subtipo es "login", se establece USER_LOGIN. Si el valor del subtipo es "logout", se establece USER_LOGOUT. Si el subtipo no contiene ningún valor, se establece USER_UNCATEGORIZED.
Desencriptación	NETWORK_CONNECTION
Autenticación	GENERIC_EVENT

¿Qué sigue?

Transferencia de datos a Google Security Operations

Formato de registro	Versión de PAN-OS
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0