Diese Seite wurde von der Cloud Translation API übersetzt.

Palo Alto Networks-Firewallprotokolle erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

In diesem Dokument wird beschrieben, wie Sie syslog und einen Google Security Operations-Weiterleiter konfigurieren, um Palo Alto Networks-Firewall-Logs zu erfassen. Außerdem wird erläutert, wie Palo Alto Networks-Firewallprotokollfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google Security Operations zugeordnet werden.

Eine Übersicht über die Datenaufnahme in Google Security Operations finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Datenaufnahmelabel PAN_FIREWALL.

Hinweise

Informationen zu den Komponenten, die zum Erfassen von Palo Alto Networks-Firewall-Logs bereitgestellt werden, finden Sie in der Bereitstellungsarchitektur. Jede Kundenimplementierung kann von dieser Darstellung abweichen und komplexer sein.

Das folgende Diagramm zeigt, wie Sie syslog auf einer Palo Alto Networks-Firewall konfigurieren und einen Google Security Operations-Weiterleiter auf einem Linux-Server installieren, um Protokolldaten an Google Security Operations weiterzuleiten. Der Parser unterstützt Protokolle in den folgenden Datenformaten: CSV (Comma Separated Values), CEF (Common Event Format) und LEEF (Log Event Extended Format).
Prüfen Sie die Logformate und PAN-OS-Versionen, die vom Google Security Operations-Parser unterstützt werden. In der folgenden Tabelle sind die Logformate und die entsprechenden PAN-OS-Versionen aufgeführt, die vom Google Security Operations-Parser unterstützt werden:

Log format PAN-OS-Version

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Prüfen Sie, welche Palo Alto Networks-Firewallprotokolltypen vom Google Security Operations-Parser unterstützt werden. Der Google Security Operations-Parser unterstützt die folgenden Palo Alto Networks-Firewallprotokolltypen:
- Traffic
- Bedrohung
- WildFire-Einreichungen
- Tunnelinspektion
- Konfiguration
- System
- HIP-Übereinstimmung
- IP-Tag
- User-ID
- Entschlüsselung
- Authentifizierung
- URL-Filter
- Datenfilterung
- GlobalProtect
- Ergebnisse in Beziehung setzen
Weitere Informationen zu den Palo Alto Networks-Firewall-Logtypen finden Sie unter PAN-OS-Logtypen.
Alle Systeme in der Bereitstellungsarchitektur müssen in der Zeitzone UTC konfiguriert sein.
Bevor Sie den Palo Alto Networks-Firewall-Parser verwenden, sollten Sie sich die Änderungen bei den Feldzuordnungen zwischen dem vorherigen Parser und dem aktuellen Palo Alto Networks-Firewall-Parser ansehen. Achten Sie bei der Migration darauf, dass die Regeln, Suchanfragen, Dashboards oder anderen Prozesse, die von den ursprünglichen Feldern abhängen, die aktualisierten Felder verwenden.

In der vorherigen Parserversion wird beispielsweise das Protokollfeld category dem UDM-Feld security_result.description zugeordnet. Im aktuellen Palo Alto Networks-Firewall-Parser wird das category-Logfeld dem security_result.category_details-UDM-Feld zugeordnet. Wenn Sie zum aktuellen Palo Alto Networks-Firewall-Parser migrieren und das Feld category in Ihren Regeln verwenden, müssen Sie die Regeln so ändern, dass das UDM-Feld security_result.category_details des aktuellen Parsers verwendet wird.

Syslog und den Google Security Operations-Weiterleiter konfigurieren

So konfigurieren Sie syslog und den Google Security Operations-Weiterleiter:

Wenn Sie CSV-Protokolle überwachen möchten, konfigurieren Sie das Syslog-Serverprofil. Weitere Informationen finden Sie unter Syslog-Serverprofil konfigurieren.

Geben Sie beim Konfigurieren des syslog-Serverprofils „Standard“ als benutzerdefiniertes Protokollformat an.
Wenn Sie CEF-Logs überwachen möchten, konfigurieren Sie die Palo Alto Networks-Firewall so, dass CEF-Logs weitergeleitet werden. Weitere Informationen finden Sie im Abschnitt „Konfiguration der Palo Alto Networks NGFW zur Ausgabe von CEF-Ereignissen“ des PDF-Leitfadens zur PAN-OS-CEF-Integration.
Wenn Sie LEEF-Protokolle überwachen möchten, konfigurieren Sie das Syslog-Serverprofil. Weitere Informationen finden Sie unter Benutzerdefinierte Logweiterleitung im LEEF-Format.
Konfigurieren Sie den Google Security Operations-Weiterleiter so, dass Protokolle an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Weiterleitung unter Linux installieren und konfigurieren. Im Folgenden finden Sie ein Beispiel für die Konfiguration eines Google Security Operations-Weiterleitungsservers:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Referenz für die Feldzuordnung: PAN-Firewall-Protokollfelder zu UDM-Feldern

In diesem Abschnitt wird erläutert, wie der Parser Palo Alto Networks-Firewall-Logfelder den UDM-Ereignisfeldern von Google Security Operations für jeden Logtyp zuordnet.

Der Google Security Operations-Labelschlüssel bezieht sich auf den Namen des Schlüssels, der dem UDM-Feld „Labels.key“ zugeordnet ist. Im Fall des Felds „Virtuelles System“ lautet der Feldname beispielsweise „cs3“ im CEF-Format und „VirtualSystem“ im LEEF-Format. Das UDM-Feld „about.labels.key“ enthält den Wert „vsys“ und das UDM-Feld „about.labels.value“ den Wert dieses Felds.

Einige der CEF- oder LEEF-Feldnamen haben keinen Namen, der den CSV-Feldnamen entspricht. Wenn Sie in solchen Fällen im syslog-Profil einen eigenen Variablennamen im benutzerdefinierten Protokollformat hinzufügen, wird er vom Parser nicht dem UDM-Feld zugeordnet.

In den folgenden Abschnitten finden Sie eine Zuordnungsübersicht für die einzelnen Logtypen:

System
Config
Bedrohung/Waldbrand
Traffic
Nutzer-ID
HIP-Abgleich
IP-Tag
Entschlüsselung
Tunnel
Authentifizierung
URL
Daten
GlobalProtect
Korrelation

System

In der folgenden Tabelle sind die Protokollfelder des Systemprotokolltyps und die zugehörigen UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		„metadata.product_event_type“ ist auf „%{type} - %{subtype}“ festgelegt.
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)	Subtyp		„metadata.product_event_type“ ist auf „%{type} - %{subtype}“ festgelegt.
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (eventid)	Katze		eventid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Objekt (Objekt)	fname	Dateiname	Objekt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Modul (module)	flexString2	Modul	module	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Schweregrad (severity)	$number-of-severity(header)	Schweregrad		security_result.severity und security_result.severity_details
Beschreibung (undurchsichtig)	msg	msg		metadata.description
	principal_user_userid (Dieses Feld wird aus dem msg-Feld extrahiert.)			principal.user.userid
	principal_ip3 (Dieses Feld wird aus dem msg-Feld extrahiert)			principal.ip
	Grund (dieses Feld wird aus dem Feld „msg“ extrahiert)			security_result.description
	server_address (Dieses Feld wird aus dem Feld „msg“ extrahiert.)			target.ip
	server_profile (Dieses Feld wird aus dem msg-Feld extrahiert.)			additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppe (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Zeitstempel mit hoher Auflösung (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)

Konfiguration

In der folgenden Tabelle sind die Protokollfelder des Config-Protokolltyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)			metadata.product_event_type
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Host (host)	shost	src		principal.ip/hostname
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Befehl (cmd)	handeln	msg	CMD	metadata.description
Administrator (admin)	duser	usrName		principal.user.userid
Client (Kunde)	destinationServiceName	Client		principal.application
Ergebnis (result)	Signatur-ID (Header)(Grund)	Ergebnis		security_result.summary
Konfigurationspfad (path)	msg	ConfigurationPath		principal.process.command_line
Detail vor der Änderung (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
Detail nach Änderung (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppe (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Gerätegruppe (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Audit Comment (comment)	PanOSPolicyAuditComment		Kommentar	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Bedrohung/WildFire

In der folgenden Tabelle sind die Protokollfelder des Protokolltyps „Threat/WildFire“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	cat/subtype (Header)	Subtyp		metadata.product_event_type
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser / usrName		principal.user.userid
Zielnutzer (dstuser)	duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		target.application
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Protokollsatz)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (Sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (action)	handeln	Aktion		security_result.action_details security_result.action
URL/Dateiname (Sonstiges)	Anfrage	Sonstiges		target.file.full_path (wenn der Untertyp „file“, „virus“, „wildfire-virus“ oder „wildfire“ ist, wird das Feld „misc“ auf „target.file.full_path“ zugeordnet) target.url (wenn der Untertyp „url“ ist, wird das Feld „misc“ auf „target.url“ und „target.hostname“ zugeordnet) target.hostname (wenn der Untertyp „Spyware“ oder „Sicherheitslücke“ ist, wird das Feld „misc“ auf target.file.full_path und target.url zugeordnet)
Name der Bedrohung/des Inhalts (threatid)	Katze	ThreatID		security_result.threat_name
Kategorie (category)	cs2	URLCategory		security_result.category_details
Schweregrad (severity)	number-of-severity(header)	Schweregrad		security_result.severity und security_result.severity_details
Richtung (direction)	flexString2	Richtung		network.direction
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
Inhaltstyp (contenttype)		ContentType	contenttype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
PCAP-ID (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Datei-Digest (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Cloud (Wolke)	filePath	Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
URL-Index (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
User-Agent (user_agent)				network.http.user_agent
Dateityp (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
Referrer-URL (referer)				network.http.referral_url
Absender (sender)	suid	Absender		network.email.from
Betreff (subject)	msg	Betreff		network.email.subject
Empfänger (recipient)	duid	Empfänger		network.email.to
Berichts-ID (reportid)	oldFileId	ReportID	reportid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hierarchie der Gerätegruppe (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
UUID der Quell-VM (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID der Ziel-VM (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
HTTP-Methode (http_method)		RequestMethod		network.http.method
Tunnel-ID/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneltyp (tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Bedrohungskategorie (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Inhaltsversion (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Nutzlastprotokoll-ID (ppid)	PanOSPPID		ppid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HTTP-Header (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
URL-Kategorieliste (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Regel-UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Gerätekategorie der Quelle (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quell-Hostname (src_host)	PanSrcHostname			principal.hostname
MAC-Quelladresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanDstHostname			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Pod-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Liste der Quelle (src_edl)	PanSrcEDL		src_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanDstEDL		dst_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)	PanGPHostID		hostid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer des Nutzergeräts (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Domain-EDL (domain_edl)	PanDomainEDL		domain_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-dynamische Adressgruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Ziel-dynamische Adressgruppe (dst_dag)	PanDstDAG			target.group.group_display_name
Teilweiser Hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res timestamp)	PanTimeHighRes		high_res timestamp	metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Grund (reason)	PanReasonFilteringAction		reason	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ausrichtung (Justification)	PanJustification		justification	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Slice-Diensttyp (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Kategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Technologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Eigenschaft (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der App-Sanktion (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Traffic

In der folgenden Tabelle sind die Protokollfelder des Typs „Traffic-Log“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	cat/Typ		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)	start			metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		target.application
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Protokollsatz)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (Sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (action)	handeln	Aktion		security_result.action_details security_result.action
Byte (Byte)	flexNumber1	totalBytes	Byte	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gesendete Bytes (bytes_sent)	in	srcBytes		network.sent_bytes
Empfangene Bytes (bytes_received)	out	dstBytes		network.received_bytes
Pakete (packets)	cn2	totalPackets	Pakete	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Beginn (start)		StartTime	start	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Verstrichene Zeit (elapsed)	cn3	ElapsedTime	verstrichen	network.session_duration.seconds
Kategorie (category)	cs2	URLCategory		security_result.category / security_result.category_details
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
Gesendete Pakete (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Empfangene Pakete (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Grund für das Ende der Sitzung (session_end_reason)	reason	SessionEndReason		security_result.summary
Gerätegruppenhierarchie1 (dg_hier_level_1 bis dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Aktionsquelle (action_source)	Katze	ActionSource	action_source	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
UUID der Quell-VM (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID der Ziel-VM (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
Tunnel-ID/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn des übergeordneten Elements (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneltyp (tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Chunks (Chunks)	PanOSSCTPChunks		chunks	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gesendete SCTP-Chunks (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Empfangene SCTP-Chunks (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Regel-UUID (rule_uuid)	PanOSRuleUUID			security_result.rule_id
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anzahl der App-Flips (link_change_count)	PanLinkChange		link_change_count	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Richtlinien-ID (policy_id)	PanPolicyID		policy_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Linkschalter (link_switches)	PanLinkDetail		link_switches	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Cluster (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Gerätetyp (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Clustertyp (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SD-WAN-Standort (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Gerätekategorie der Quelle (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quell-Hostname (src_host)	PanSrcHostname			principal.hostname
MAC-Quelladresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanDstHostname			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Pod-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Liste der Quelle (src_edl)	PanSrcEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanDstEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)	PanGPHostID		hostid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer des Nutzergeräts (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Quell-dynamische Adressgruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Ziel-dynamische Adressgruppe (dst_dag)	PanDstDAG			target.group.group_display_name
Sitzungsinhaber (session_owner)	PanHASessionOwner		session_owner	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Slice-Diensttyp (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ein Slice-Unterscheidungsmerkmal (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Kategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Technologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)				security_result.severity
App-Eigenschaft (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der App-Sanktion (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

User-ID

In der folgenden Tabelle sind die Protokollfelder des Protokolltyps „user_id“ und die zugehörigen UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-IP-Adresse (ip)	src	src		principal.ip
Nutzer (user)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Name der Datenquelle (datasourcename)	cs4	DataSourceName	datasourcename	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (eventid)		EventID	eventid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitüberschreitungsgrenzwert (Zeitüberschreitung)	cn3	TimeoutThreshold	Zeitüberschreitung	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (beginport)	spt	srcPort		principal.port
Zielport (Endport)	dpt	dstPort		target.port
Datenquelle (datasource)	cs5	DataSource	datasource	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Typ der Datenquelle (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Faktortyp (factortype)	cs1	FactorType	factortype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Faktor für die Abschlusszeit (factorcompletiontime)	Ende	FactorCompletionTime	factorcompletiontime	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Faktornummer (factorno)	cn1	FactorNumber	factorno	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Flags für Nutzergruppen (ugflags)	PanOSUGFlags		ugflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Nutzer nach Quelle (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Zeitstempel mit hoher Auflösung (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)

HIP-Übereinstimmung

In der folgenden Tabelle sind die Protokollfelder des HIP-Abgleichsprotokolltyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)	Subtyp
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)	start	startTime		metadata.event_timestamp
Quellnutzer (srcuser)	suser	usrName		principal.user.userid
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Computername (machinename)	shost	identHostName		principal.hostname
Betriebssystem (OS)	cs2	Betriebssystem		principal.asset.platform_software.platform
Quelladresse (src)	src	identsrc		principal.ip
HIP (Matchname)	Katze	HIP	matchname	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HIP-Typ (matchtype)	Geräteereignisklassen-ID (Header)	HIPType	matchtype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
IPv6-Systemadresse (srcipv6)	c6a2	srcipv6		principal.asset.ip
Host-ID (hostid)	PanOSHostID			principal.asset.product_object_id
Seriennummer des Nutzergeräts (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
MAC-Adresse des Geräts (mac)	PanOSEndpointMac			principal.asset.mac
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)

IP-Tag

In der folgenden Tabelle sind die Protokollfelder des IP-Tag-Protokolltyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-IP-Adresse (ip)	src	src		principal.ip
Tag-Name (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (event_id)	PanOSEventID	EventID	event_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitlimit	PanOSTimeout	TimeoutThreshold	Zeitüberschreitung	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name der Datenquelle (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Typ der Datenquelle (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Datenquellenuntertyp (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Zeitstempel mit hoher Auflösung (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)

Entschlüsselung

In der folgenden Tabelle sind die Protokollfelder des Typs „Entschlüsselungsprotokoll“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)			metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)			metadata.product_event_type
Konfigurationsversion (config_ver)	PanOSConfigVersion		config_ver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Generierungszeit (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Quelladresse (src)	src			principal.ip
Zieladresse (dst)	dst			target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress			principa.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress			target.nat_ip
Regel (rule)	cs1			security_result.rule_name
Quellnutzer (srcuser)	Nutzer			principal.user.userid
Zielnutzer (dstuser)	duser			target.user.userid
Anwendung (App)	App			target.application
Virtuelles System (vsys)	cs3		vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4		von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5		bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Protokollsatz)	cs6		logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Geloggte Zeit (time_received)	PanOSTimeReceivedManagementPlane			-
Sitzungs-ID (sessionid)	cn1			network.session_id
Wiederholungszahl (repeatcnt)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (Sport)	spt			principal.port
Zielport (dport)	dpt			target.port
NAT-Quellport (natsport)	sourceTranslatedPort			principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort			target.nat_port
Flags	flexString1		flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto			network.ip_protocol
Aktion (action)	handeln			security_result.action_details security_result.action
Tunnel (Tunnel)	PanOSTunnel		Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
UUID der Quell-VM (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID für Regel (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Phase für Client-zu-Firewall (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Stufe für Firewall-zu-Server (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
TLS-Version (tls_version)	PanOSTLSVersion			network.tls.version
Algorithmus für den Schlüsselaustausch (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Verschlüsselungsalgorithmus (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Hash-Algorithmus (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Richtlinienname (policy_name)	PanOSPolicyName		policy_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Elliptische Kurve (ec_curve)	PanOSEllipticCurve			network.tls.curve
Fehlerindex (err_index)	PanOSErrorIndex		err_index	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Root-Status (root_status)	PanOSRootStatus		root_status	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Kettenstatus (chain_status)	PanOSChainStatus		chain_status	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Proxy-Typ (proxy_type)	PanOSProxyType		proxy_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer des Zertifikats (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Zertifikat-Fingerabdruck	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Startdatum des Zertifikats (nicht vor)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Enddatum des Zertifikats (nicht nach)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Zertifikatsversion (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Zertifikatsgröße (cert_size)	PanOSCertificateSize		cert_size	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Länge des allgemeinen Namens (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Länge des gemeinsamen Namens des Ausstellers (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Länge des gemeinsamen Namens des Stammknotens (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SNI-Länge (sni_len)	PanOSSNILength		sni_len	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zertifikats-Flags (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Subject Common Name (CN)	PanOSCommonName		cn	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Allgemeiner Name des Ausstellers (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Allgemeiner Name des Stammknotens (root_cn)	PanOSRootCommonName		root_cn	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Server Name Indication (sni)				network.tls.client.server_name
Fehler (Fehler)	PanOSErrorMessage		Fehler	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Container-ID (container_id)	PanOSContainerID		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Pod-Namespace (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Name (pod_name)	PanOSContainerName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Liste der Quelle (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Quell-dynamische Adressgruppe (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Ziel-dynamische Adressgruppe (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Gerätekategorie der Quelle (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key und principal.labels.value
Betriebssystemversion des Quellgeräts (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Quell-Hostname (src_host)	PanOSSourceDeviceHost			principal.hostname
MAC-Quelladresse (src_mac)	PanOSSourceDeviceMac			principal.mac
Zielgerätekategorie (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Ziel-Hostname (dst_host)	PanOSDestinationDeviceHost			target.hostname
MAC-Zieladresse (dst_mac)	PanOSDestinationDeviceMac			target.mac
Sequenznummer (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags		actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)				intermediary.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Kategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Technologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)				security_result.severity
App-Eigenschaft (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der App-Sanktion (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Tunnel

In der folgenden Tabelle sind die Protokollfelder des Tunnelprotokolltyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regelname (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser / usrName		principal.user.userid
Zielnutzer (dstuser)	duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Protokollsatz)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (Sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (action)	handeln	Aktion		security_result.action_details security_result.action
Schweregrad (severity)				security_result.severity und security_result.severity_details
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellort (srcloc)				principal.location.country_or_region
Zielort (dstloc)				target.location.country_or_region
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
Tunnel-ID (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn des übergeordneten Elements (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunneltyp (tunnel)	cs2	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Byte (Byte)	flexNumber1	totalBytes	Byte	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gesendete Bytes (bytes_sent)	in	srcBytes		network.sent_bytes
Empfangene Bytes (bytes_received)	out	dstBytes		network.received_bytes
Pakete (packets)	cn2	totalPackets	Pakete	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gesendete Pakete (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Empfangene Pakete (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Maximale Datenkapselung (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unbekanntes Protokoll (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Strenge Prüfung (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunnelfragment (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Erstellte Sitzungen (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Geschlossene Sitzungen (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Grund für das Ende der Sitzung (session_end_reason)	reason	SessionEndReason		security_result.summary
Aktionsquelle (action_source)	Katze	ActionSource	action_source	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Beginn (start)		startTime	start	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Verstrichene Zeit (elapsed)	cn3	ElapsedTime	verstrichen	network.session_duration.seconds
Tunnel-Prüfregel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel-Prüfungsregel: %{PanOSTunnelInspectionRule}"
IP-Adresse des Remote-Nutzers (remote_user_ip)	PanOSRmtUserIP			target.ip
Remote-Nutzer-ID (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
UUID der Sicherheitsregel (rule_uuid)	PanOSRuleUUID			security_result.rule_id
PCAP-ID (pcap_id)	PanOSPcapID		pcap_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name der dynamischen Nutzergruppe (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Externe dynamische Liste der Quelle (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Ein Slice-Unterscheidungsmerkmal (nssai_sd)			nssai_sd	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Slice-Diensttyp (nssai_sd)			nssai_sd1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
PDU-Sitzungs-ID (pdu_session_id)			pdu_session_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der Anwendung (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Kategorie (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Technologie (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungsrisiko (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
App-Eigenschaft (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anwendungscontainer (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SaaS-Anwendung (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der App-Sanktion (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Authentifizierung

In der folgenden Tabelle sind die Protokollfelder des Authentifizierungsprotokolltyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time oder cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)				metadata.event_timestamp
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-IP-Adresse (ip)	src	src		principal.ip
Nutzer (user)	duser	usrName		target.user.userid
Nutzer normalisieren (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Objekt (Objekt)	fname	ObjectName	Objekt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Authentifizierungsrichtlinie (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Authentifizierungs-ID (authid)	cn2	AuthenticationID	authid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter	flexString2	Lieferant	vendor	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Protokollsatz)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Serverprofil (serverprofile)	cs1	ServerProfile	serverprofile	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Beschreibung (desc)	PanOSDesc	AdditionalAuthInfo		security_result.description
Clienttyp (clienttype)	cs5	ClientType	clienttype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ereignistyp (event)	msg	msg		extensions.auth.auth_details
Faktornummer (factorno)	cn1	FactorNumber	factorno	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Authentifizierungsprotokoll (authproto)			authproto	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
UUID für Regel (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Gerätekategorie der Quelle (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Quell-Hostname (src_host)	PanOSSourceHostname			principal.hostname
MAC-Quelladresse (src_mac)	PanOSSourceMac			principal.asset.mac
Region (Region)	PanOSTrafficOriginRegion			principal.location.country_or_region
User-Agent (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
Sitzungs-ID(sessionid)	PanOSTrafficSessionID			network.session_id

URL

In der folgenden Tabelle sind die Protokollfelder des URL-Protokolltyps und die zugehörigen UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)	Subtyp		metadata.product_event_type
Zeit generieren				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regel (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Protokollsatz)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Aufgezeichnete Zeit			time_logged	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (Sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (action)	handeln	Aktion		security_result.action_details security_result.action
URL/Dateiname (Sonstiges)		Sonstiges		target.file.full_path target.url
Name der Bedrohung/des Inhalts (threatid)	Katze	ThreatID		security_result.threat_id
Kategorie (category)	cs2	URLCategory	Kategorie	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Schweregrad (severity)	number-of-severity (Header)	Schweregrad		security_result.severity security_result.severity_details
Richtung (direction)	flexString2	Richtung		network.direction
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	contenttype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	User-Agent		network.http.user_agent
Dateityp [filetype]				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
referer (referer)	PanOSReferer	Verwiesen von:		network.http.referral_url
sender (Absender)				network.email.from
subject (Betreff)		Betreff		network.email.subject
recipient (Empfänger)				network.email.to
reportid (reportid)			reportid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG-Hierarchie – Ebene 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG-Hierarchieebene 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG-Hierarchie – Ebene 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG-Hierarchieebene 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID der Quell-VM (src_uuid)		SrcUUID		principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
Tunnel-ID/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunnel (Tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Nutzlastprotokoll-ID (ppid)	PanOSPPID		ppid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
URL-Kategorieliste (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
UUID für Regel (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HTTP/2-Verbindung (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
XFF-Adresse (xff_ip)	PanXFFIP			principal.ip
Gerätekategorie der Quelle (src_category)	PanSrcDeviceCat		src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)	PanSrcDeviceModel		src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Quell-Hostname (src_host)	PanSrcHostname		src_host	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
MAC-Quelladresse (src_mac)	PanSrcMac			principal.mac
Zielgerätekategorie (dst_category)	PanDstDeviceCat		dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)	PanDstDeviceModel		dst_model	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key und target.labels.value
Betriebssystemversion des Zielgeräts (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Ziel-Hostname (dst_host)	PanPODNamespace			target.hostname
MAC-Zieladresse (dst_mac)	PanDstMac			target.mac
Container-ID (container_id)	PanContainerName		container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Pod-Namespace (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Name (pod_name)	PanPODName		pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Liste der Quelle (src_edl)	PanSrcEDL		src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)	PanDstEDL		dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)	PanGPHostID		hostid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-dynamische Adressgruppe (src_dag)	PanSrcDAG			principal.group.group_display_name
Ziel-dynamische Adressgruppe (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Grund (reason)	PanReasonFilteringAction		reason	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ausrichtung (justification)	PanJustification		justification	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der App (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Kategorie der App (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Technologie der App (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Risiko der App (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Merkmal der App (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Container der App (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Getunnelte App (tunneled_app)			tunneled_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SaaS der App (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der sanktionierten App (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

Daten

In der folgenden Tabelle sind die Protokollfelder des Datenprotokolltyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Seriennummer (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)	Katze		metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)	Subtyp		metadata.product_event_type
Zeit generieren				metadata.event_timestamp
Quelladresse (src)	src	src		principal.ip
Zieladresse (dst)	dst	dst		target.ip
NAT-Quell-IP (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
NAT-Ziel-IP (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regel (rule)	cs1	RuleName		security_result.rule_name
Quellnutzer (srcuser)	suser	SourceUser		principal.user.userid
Zielnutzer (dstuser)	duser	DestinationUser		target.user.userid
Anwendung (App)	App	Anwendung		network.application_protocol
Virtuelles System (vsys)	cs3	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellzone (von)	cs4	SourceZone	von	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Zielzone (bis)	cs5	DestinationZone	bis	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Eingangsschnittstelle (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Ausgehende Schnittstelle (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Protokollaktion (Protokollsatz)	cs6	LogForwardingProfile	logset	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Aufgezeichnete Zeit			time_logged	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sitzungs-ID (sessionid)	cn1	SessionID		network.session_id
Wiederholungszahl (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellport (Sport)	spt	srcPort		principal.port
Zielport (dport)	dpt	dstPort		target.port
NAT-Quellport (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
NAT-Zielport (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags	flexString1	Flags	flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
IP-Protokoll (proto)	Proto	Proto		network.ip_protocol
Aktion (action)	handeln	Aktion		security_result.action_details security_result.action
URL/Dateiname (Sonstiges)		Sonstiges		target.file.full_path target.url
Name der Bedrohung/des Inhalts (threatid)	Katze	ThreatID		security_result.threat_id
Kategorie (category)	cs2	URLCategory	Kategorie	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Schweregrad (severity)	number-of-severity (Header)	Schweregrad		security_result.severity security_result.severity_details
Richtung (direction)	flexString2	Richtung		network.direction
Sequenznummer (seqno)	externalId	Sequenz		metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellland (srcloc)		SourceLocation		principal.location.country_or_region
Zielland (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
cloud (cloud)		Cloud	Cloud	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
Dateityp [filetype]				about.file.mime_type
xff (xff)			xff	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
referer (referer)				network.http.referral_url
sender (Absender)				network.email.from
subject (Betreff)		Betreff		network.email.subject
recipient (Empfänger)				network.email.to
reportid (reportid)			reportid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG-Hierarchie – Ebene 1 (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG-Hierarchieebene 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG-Hierarchie – Ebene 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
DG-Hierarchieebene 4 (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID der Quell-VM (src_uuid)		SrcUUID		principal.asset.asset_id
UUID der Ziel-VM (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
Tunnel-ID/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Monitor-Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
ID der übergeordneten Sitzung (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Beginn der übergeordneten Sitzung (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Tunnel (Tunnel)	PanOSTunnelType	TunnelType	Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SCTP-Verknüpfungs-ID (assoc_id)	PanOSAssocID		assoc_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Nutzlastprotokoll-ID (ppid)	PanOSPPID		ppid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
URL-Kategorieliste (url_category_list)			url_category_list	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
UUID für Regel (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
HTTP/2-Verbindung (http2_connection)			http2_connection	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
XFF-Adresse (xff_ip)				principal.ip
Gerätekategorie der Quelle (src_category)			src_category	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgeräteprofil (src_profile)			src_profile	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Quellgerätemodell (src_model)			src_model	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Quellgeräts (src_vendor)			src_vendor	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Quellgeräts (src_osfamily)				principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemversion des Quellgeräts (src_osversion)				principal.asset.software.version
Quell-Hostname (src_host)			src_host	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
MAC-Quelladresse (src_mac)				principal.mac
Zielgerätekategorie (dst_category)			dst_category	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgeräteprofil (dst_profile)			dst_profile	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Zielgerätemodell (dst_model)			dst_model	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Anbieter des Zielgeräts (dst_vendor)			dst_vendor	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Betriebssystemfamilie des Zielgeräts (dst_osfamily)				target.asset.platform_software.platform target.labels.key und target.labels.value
Betriebssystemversion des Zielgeräts (dst_osversion)				target.asset.software.version
Ziel-Hostname (dst_host)				target.hostname
MAC-Zieladresse (dst_mac)				target.mac
Container-ID (container_id)			container_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Pod-Namespace (pod_namespace)			pod_namespace	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
POD-Name (pod_name)			pod_name	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Liste der Quelle (src_edl)			src_edl	principal.labels.key und principal.labels.value additional.fields.key und additional.fields.value.string_value
Externe dynamische Zielliste (dst_edl)			dst_edl	target.labels.key und target.labels.value additional.fields.key und additional.fields.value.string_value
Host-ID (hostid)			hostid	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Seriennummer (serialnumber)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quell-dynamische Adressgruppe (src_dag)				principal.group.group_display_name
Ziel-dynamische Adressgruppe (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Grund (reason)			reason	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ausrichtung (justification)			justification	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Unterkategorie der App (subcategory_of_app)			subcategory_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Kategorie der App (category_of_app)			category_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Technologie der App (technology_of_app)			technology_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Risiko der App (risk_of_app)			risk_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Merkmal der App (characteristic_of_app)			characteristic_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Container der App (container_of_app)			container_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Getunnelte App (tunneled_app)			tunneled_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SaaS der App (is_saas_of_app)			is_saas_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Status der sanktionierten App (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value

GlobalProtect

In der folgenden Tabelle sind die Protokollfelder des GlobalProtect-Protokolltyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	CEF-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Empfangszeit (receive_time)	rt		received_time	metadata.event_timestamp
Seriennummer (serial)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Typ (Typ)	type (Header)			metadata.product_event_type
Bedrohungs-/Inhaltstyp (Subtyp)	subtype (Header)	Subtyp		metadata.product_event_type
Generierungszeit (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Virtuelles System (vsys)	PanOSVirtualSystem		vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Ereignis-ID (eventid)	PanOSEventID		event_id	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Bühne (stage)	PanOSStage		Phase	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Authentifizierungsmethode (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Tunneltyp (tunnel_type)	PanOSTunnelType		Tunnel	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Quellnutzer (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Quellregion (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Computername (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
Öffentliche IP-Adresse (public_ip)	PanOSPublicIPv4			principal.nat_ip
Öffentliche IPv6-Adresse (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
Private IP-Adresse (private_ip)	PanOSPrivateIPv4			principal.ip
Private IPv6-Adresse (private_ipv6)	PanOSPrivateIPv6			principal.ip
Host-ID (hostid)	PanOSHostID		hostid	principal.asset.asset_id
Seriennummer (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
Clientversion (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Client-Betriebssystem (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Client-Betriebssystemversion (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Wiederholungszahl (repeatcnt)	PanOSCountOfRepeats		repeatcnt	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Grund (reason)	PanOSQuarantineReason			security_result.summary
Fehler (Fehler)	PanOSConnectionError		Fehler	security_result.description
Beschreibung (undurchsichtig)	PanOSDescription			security_result.description
Status (status)	PanOSEventStatus		Status	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Standort (Standort)	PanOSGPGatewayLocation			target.location.country_or_region
Dauer der Anmeldung (login_duration)	PanOSLoginDuration			network.session_duration
Verbindungsmethode (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Fehlercode (error_code)	PanOSConnectionErrorID		error_code	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Portal (portal)	PanOSPortal		Portal	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Sequenznummer (seqno)	PanOSSequenceNo			metadata.product_log_id
Aktions-Flags (actionflags)	PanOSActionFlags		actionflags	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Zeitstempel mit hoher Auflösung (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (falls „Generate Time“ nicht vorhanden ist)
Gateway-Auswahlmethode (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
SSL-Antwortzeit (response_time)	PanOSSSLResponseTime		response_time	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gateway-Priorität (priority)	PanOSGatewayPriority		Priorität	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Versuchte Gateways (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gateway-Name (gateway)	PanOSAttemptedGateways		Gateway	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_1)			dg_hier_level_1	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_2)			dg_hier_level_2	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_3)			dg_hier_level_3	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie (dg_hier_level_4)			dg_hier_level_4	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)				target.hostname
ID des virtuellen Systems (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id

Ergebnisse in Beziehung setzen

In der folgenden Tabelle sind die Protokollfelder des Typs „Korrelationsprotokoll“ und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld	LEEF-Feld	Google Security Operations-Labelschlüssel	UDM-Feld
Generierte Uhrzeit (time_generated oder cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Quelladresse (src)	src		principal.ip
Quellnutzer (srcuser)	SourceUser / usrName		principal.user.userid
Virtuelles System (vsys)	VirtualSystem	vsys	about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Kategorie (category)			security_result.category_details
Schweregrad (severity)	Schweregrad		security_result.severity und security_result.severity_details
Gerätegruppenhierarchie – Stufe 1	DeviceGroupHierarchyL1		about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie – Stufe 2	DeviceGroupHierarchyL2		about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie – Stufe 3	DeviceGroupHierarchyL3		about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Gerätegruppenhierarchie – Stufe 4	DeviceGroupHierarchyL4		about.labels.key und about.labels.value additional.fields.key und additional.fields.value.string_value
Name des virtuellen Systems (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Gerätename (device_name)	DeviceName		intermediary.hostname
ID des virtuellen Systems (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Objektname (objectname)	ObjectName		target.resource.name
Objekt-ID (object_id)	ObjectID		target.resource.product_object_id

Referenz für die Feldzuordnung: Protokolltypen zu UDM-Ereignistyp

In der folgenden Tabelle sind die Palo Alto Networks-Firewallprotokolltypen und die entsprechenden UDM-Ereignistypen aufgeführt.

Logtyp	UDM-Ereignistyp
Traffic	NETWORK_CONNECTION
Bedrohung	NETWORK_CONNECTION
URL-Filter	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION WildFire-Einreichungsprotokolle sind ein Untertyp des Bedrohungsprotokolltyps und verwenden dasselbe Syslog-Format.
Datenfilterung	NETWORK_CONNECTION
Tunnel	NETWORK_CONNECTION
Konfiguration	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED Der Wert des Felds „Command (cmd)“ bestimmt die Zuordnung des UDM-Ereignistyps. Wenn der Wert des cmd-Felds „add“ oder „clone“ ist, wird SETTING_CREATION festgelegt. Wenn der Wert des Felds „cmd“ „delete“ ist, wird „SETTING_DELETION“ festgelegt. Wenn der Wert des cmd-Felds „edit“, „move“, „rename“, „set“ oder „commit“ ist, wird SETTING_MODIFICATION festgelegt. Wenn das Feld „cmd“ keine Werte enthält, wird „SETTING_UNCATEGORIZED“ festgelegt.
System	Wenn der Untertyp „dhcp“ ist, wird NETWORK_DHCP festgelegt. Wenn der Wert für den Untertyp „auth“ ist, wird USER_LOGIN festgelegt. Wenn der Beschreibungswert „angemeldet“ ist, wird USER_LOGIN festgelegt. Wenn der Beschreibungswert „ausgeloggt“ ist, wird USER_LOGOUT festgelegt. Für andere Werte des Untertyps wird „GENERIC_EVENT“ festgelegt.
HIP-Abgleich	NETWORK_CONNECTION
IP-Tag	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Wenn der Wert des Untertyps „login“ ist, wird USER_LOGIN festgelegt. Wenn der Wert für den Untertyp „logout“ ist, wird USER_LOGOUT festgelegt. Wenn „Untertyp“ keinen Wert enthält, wird „USER_UNCATEGORIZED“ festgelegt.
Entschlüsselung	NETWORK_CONNECTION
Authentifizierung	GENERIC_EVENT

Nächste Schritte

Datenaufnahme in Google Security Operations

Log format	PAN-OS-Version
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0