Coletar registros de firewall da Palo Alto Networks
Visão geral
Este documento descreve como configurar o syslog e um forwarder do Google Security Operations para coletar logs de firewall da Palo Alto Networks. Este documento também explica como os campos de registro de firewall da Palo Alto Networks são mapeados para os campos do modelo de dados unificado (UDM, na sigla em inglês) do Google Security Operations.
Para uma visão geral da ingestão de dados do Google Security Operations, consulte Ingestão de dados para o Google Security Operations.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência PAN_FIREWALL.
Antes de começar
Para entender os componentes implantados para coletar logs do firewall da Palo Alto Networks, analise a arquitetura de implantação. Cada implantação do cliente pode ser diferente dessa representação e pode ser mais complexa.
O diagrama a seguir mostra como configurar o syslog em um firewall da Palo Alto Networks e instalar um forwarder do Google Security Operations em um servidor Linux para encaminhar dados de registro ao Google Security Operations. O analisador oferece suporte a registros gravados nos seguintes formatos de dados: valores separados por vírgula (CSV), formato de evento comum (CEF, na sigla em inglês) e formato estendido de evento de registro (LEEF, na sigla em inglês).
Verifique os formatos de registro e as versões do PAN-OS com suporte do analisador do Google Security Operations. A tabela a seguir lista os formatos de registro e as versões do PAN-OS com que o analisador de operações de segurança do Google é compatível:
Formato do registro Versão do PAN-OS CSV 10.1.3 CEF 10.0.0 LEEF 9.1.0 Verifique os tipos de registro de firewall da Palo Alto Networks compatíveis com o analisador do Google Security Operations. O analisador de operações de segurança do Google oferece suporte aos seguintes tipos de registro de firewall da Palo Alto Networks:
- Tráfego
- Ameaça
- Envios do WildFire
- Inspeção de túnel
- Config
- Sistema
- Correspondência de HIP
- Tag IP
- User-ID
- Descriptografia
- Autenticação
- Filtragem de URL
- Filtragem de dados
- GlobalProtect
- Correlação
Para mais informações sobre os tipos de registro de firewall da Palo Alto Networks, consulte Tipos de registro do PAN-OS.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Antes de usar o analisador de firewall da Palo Alto Networks, revise as mudanças nos mapeamentos de campo entre o analisador anterior e o atual. Como parte da migração, verifique se as regras, pesquisas, painéis ou outros processos que dependem dos campos originais usam os campos atualizados.
Por exemplo, na versão anterior do analisador, o campo de registro
categoryé mapeado para o campo UDMsecurity_result.description. No analisador de firewall atual da Palo Alto Networks, o campo de registrocategoryé mapeado para o campo UDMsecurity_result.category_details. Se você migrar para o analisador de firewall atual da Palo Alto Networks e usar o campocategorynas regras, modifique as regras para usar o campo UDMsecurity_result.category_detailsdo analisador atual.
Configurar o syslog e o encaminhador do Google Security Operations
Para configurar o syslog e o encaminhador de operações de segurança do Google, siga estas etapas:
Para monitorar registros CSV, configure o perfil do servidor syslog. Para mais informações, consulte Configurar o perfil do servidor syslog.
Ao configurar o perfil do servidor syslog, especifique "Padrão" como o formato de registro personalizado.
Para monitorar os registros do CEF, configure o firewall da Palo Alto Networks para encaminhar os registros do CEF. Para mais informações, faça o download do PDF do guia de integração do CEF do PAN-OS e consulte a seção "Configuração do NGFW da Palo Alto Networks para gerar eventos CEF".
Para monitorar os registros do LEEF, configure o perfil do servidor syslog. Para mais informações, consulte Encaminhamento de registro personalizado no formato LEEF.
Configure o encaminhador do Google Security Operations para enviar registros ao Google Security Operations. Para mais informações, consulte Instalar e configurar o forwarder no Linux. Confira a seguir um exemplo de configuração de um encaminhador do Google Security Operations:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Referência de mapeamento de campo: campos de registros de firewall do PAN para campos do UDM
Esta seção explica como o analisador mapeia os campos de registro do firewall da Palo Alto Networks para os campos de evento do UDM das Operações de segurança do Google para cada tipo de registro.
A chave de rótulo do Google Security Operations se refere ao nome da chave mapeada para o campo UDM Labels.key. Por exemplo, no caso do campo "Virtual System", o nome do campo é "cs3" no formato CEF e "VirtualSystem" no formato LEEF. O campo UDM "about.labels.key" contém o valor "vsys", e o campo UDM "about.labels.value" contém o valor desse campo.
Alguns dos nomes de campo do CEF ou LEEF não correspondem aos nomes de campo do CSV. Nesses casos, se você adicionar seu próprio nome de variável no formato de registro personalizado no perfil do syslog, o analisador não vai mapeá-lo para o campo da UDM.
Consulte as seções a seguir para conferir a referência de mapeamento de cada tipo de registro:
- Sistema
- Configuração
- Ameaça/incêndio
- Tráfego
- ID do usuário
- Correspondência HIP
- Tag IP
- Descriptografia
- Túnel
- Authentication
- URL
- Dados
- GlobalProtect
- Correlação
Sistema
A tabela a seguir lista os campos de registro do tipo de registro do sistema e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | gato | metadata.product_event_type está definido como "%{type} - %{subtype}". | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type está definido como "%{type} - %{subtype}". | |
| Hora de geração (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID do evento (eventid) | gato | eventid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Objeto | fname | Nome do arquivo | objeto | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Módulo | flexString2 | Módulo | module | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Gravidade | $number-of-severity(header) | Gravidade | security_result.severity e security_result.severity_details | |
| Descrição (opaco) | msg | msg | metadata.description | |
| principal_user_userid (esse campo é extraído do campo msg) | principal.user.userid | |||
| principal_ip3 (esse campo é extraído do campo msg) | principal.ip | |||
| Motivo (esse campo é extraído do campo "msg") | security_result.description | |||
| server_address: esse campo é extraído do campo msg. | target.ip | |||
| server_profile: esse campo é extraído do campo msg. | additional.fields.key e additional.fields.value.string_value | |||
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| Carimbo de data/hora de alta resolução (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
Config
A tabela a seguir lista os campos de registro do tipo de registro de configuração e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | gato | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | metadata.product_event_type | ||
| Hora de geração (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Host | shost | src | principal.ip/hostname | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Comando (cmd) | ato | msg | cmd | metadata.description |
| Administrador (admin) | duser | usrName | principal.user.userid | |
| Cliente | destinationServiceName | cliente | principal.application | |
| Resultado | ID da assinatura (cabeçalho)(motivo) | Resultado | security_result.summary | |
| Caminho de configuração (path) | msg | ConfigurationPath | principal.process.command_line | |
| Detalhe antes da mudança (before_change_detail) | cs1 | BeforeChangeDetail | before_change_detail | target.resource.attribute.labels.key/value |
| Detalhes após a mudança (after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attribute.labels.key/value |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| Grupo de dispositivos (dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
| Comentário de auditoria (comentário) | PanOSPolicyAuditComment | comentário | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
Ameaça/WildFire
A tabela a seguir lista os campos de registro do tipo de registro Threat/WildFire e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (nº de série) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | gato | metadata.product_event_type | |
| Tipo de ameaça/conteúdo (subtipo) | cat/subtype (cabeçalho) | Subtipo | metadata.product_event_type | |
| Gerar hora (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Endereço de origem (src) | src | src | principal.ip | |
| Endereço de destino (dst) | dst | dst | target.ip | |
| IP de origem NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| IP de destino NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Nome da regra (rule) | cs1 | RuleName | security_result.rule_name | |
| Usuário de origem (srcuser) | suser | SourceUser / usrName | principal.user.userid | |
| Usuário de destino (dstuser) | duser | DestinationUser | target.user.userid | |
| Aplicativo | app | Aplicativo | target.application | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de origem (de) | cs4 | SourceZone | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de destino (para) | cs5 | DestinationZone | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de entrada (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de saída (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão (sessionid) | cn1 | SessionID | network.session_id | |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (sport) | spt | srcPort | principal.port | |
| Porta de destino (dport) | dpt | dstPort | target.port | |
| Porta de origem NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| Porta de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| Flags | flexString1 | Sinalizações | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo IP (proto) | proto | proto | network.ip_protocol | |
| Ação | ato | ação | security_result.action_details
security_result.action |
|
| URL/nome de arquivo (diversos) | solicitação | Diversos | target.file.full_path (se o subtipo for "file", "virus", "wildfire-virus" ou "wildfire", o campo "misc" será mapeado para target.file.full_path) target.url (se o subtipo for "url", o campo "misc" será mapeado para target.url e target.hostname) target.hostname (se o subtipo for "spyware" ou "vulnerability", o campo "misc" será mapeado para target.file.full_path e target.url) |
|
| Nome da ameaça/conteúdo (threatid) | gato | ThreatID | security_result.threat_name | |
| Categoria | cs2 | URLCategory | security_result.category_details | |
| Gravidade | number-of-severity(header) | Gravidade | security_result.severity e security_result.severity_details | |
| Direção (direction) | flexString2 | Direção | network.direction | |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| País de origem (srcloc) | SourceLocation | principal.location.country_or_region | ||
| País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
| Content Type (contenttype) | ContentType | contenttype | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do PCAP (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Resumo do arquivo (filedigest) | fileHash | FileDigest | about.file.sha1/md5/sha256 | |
| Nuvem | filePath | Cloud | nuvem | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Índice do URL (url_idx) | URLIndex | url_idx | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| User Agent (user_agent) | network.http.user_agent | |||
| Tipo de arquivo (filetype) | fileType | FileType | about.file.mime_type | |
| X-Forwarded-For (xff) | principal.ip | |||
| Referer (referenciador) | network.http.referral_url | |||
| Remetente | suid | Remetente | network.email.from | |
| Assunto | msg | Assunto | network.email.subject | |
| Destinatário | duid | Destinatário | network.email.to | |
| ID do relatório (reportid) | oldFileId | ReportID | reportid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| UUID da VM de origem (src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
| UUID da VM de destino (dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
| Método HTTP (http_method) | RequestMethod | network.http.method | ||
| ID/IMSI do túnel (tunnel_id/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Monitorar tag/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão pai (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| Horário de início da sessão do responsável (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de túnel (tunnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Categoria de ameaça (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| Versão do conteúdo (contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID de associação do SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do protocolo de payload (ppid) | PanOSPPID | ppid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Cabeçalhos HTTP (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista de categorias de URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| UUID da regra (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| Conexão HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do grupo de usuários dinâmico (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Endereço XFF (xff_ip) | PanXFFIP | principal.ip | ||
| Categoria do dispositivo de origem (src_category) | PanSrcDeviceCat | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de origem (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de origem (src_model) | PanSrcDeviceModel | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de origem (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de origem (src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Versão do SO do dispositivo de origem (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| Nome do host de origem (src_host) | PanSrcHostname | principal.hostname | ||
| Endereço MAC de origem (src_mac) | PanSrcMac | principal.mac | ||
| Categoria do dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de destino (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Versão do SO do dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Nome do host de destino (dst_host) | PanDstHostname | target.hostname | ||
| Endereço MAC de destino (dst_mac) | PanDstMac | target.mac | ||
| ID do contêiner (container_id) | PanContainerName | container_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Namespace do pod (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do POD (pod_name) | PanPODName | pod_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa da origem (src_edl) | PanSrcEDL | src_edl | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de destino (dst_edl) | PanDstEDL | dst_edl | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do host (hostid) | PanGPHostID | hostid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Número de série do dispositivo do usuário (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| EDL do domínio (domain_edl) | PanDomainEDL | domain_edl | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Grupo de endereços dinâmico de origem (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| Grupo de endereços dinâmicos de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| Hash parcial (partial_hash) | PanPartialHash | partial_hash | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Carimbo de data/hora de alta resolução (high_res timestamp) | PanTimeHighRes | high_res timestamp | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Motivo (reason) | PanReasonFilteringAction | reason | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Justificativa | PanJustification | justificativa | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Um tipo de serviço de fatia (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Subcategoria do aplicativo (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do aplicativo (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do app (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco do aplicativo (risk_of_app) | risk_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Característica do aplicativo (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do aplicativo (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do aplicativo (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado de autorização do aplicativo (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
Tráfego
A tabela a seguir lista os campos de registro do tipo de registro de tráfego e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | cat/Type | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Horário de geração (time_generated ou cef-formatted-time_generated) | start | metadata.event_timestamp | ||
| Endereço de origem (src) | src | src | principal.ip | |
| Endereço de destino (dst) | dst | dst | target.ip | |
| IP de origem NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| IP de destino NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Nome da regra (rule) | cs1 | RuleName | security_result.rule_name | |
| Usuário de origem (srcuser) | suser | SourceUser | principal.user.userid | |
| Usuário de destino (dstuser) | duser | DestinationUser | target.user.userid | |
| Aplicativo | app | Aplicativo | target.application | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de origem (de) | cs4 | SourceZone | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de destino (para) | cs5 | DestinationZone | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de entrada (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de saída (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão (sessionid) | cn1 | SessionID | network.session_id | |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (sport) | spt | srcPort | principal.port | |
| Porta de destino (dport) | dpt | dstPort | target.port | |
| Porta de origem NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| Porta de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| Flags | flexString1 | Sinalizações | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo IP (proto) | proto | proto | network.ip_protocol | |
| Ação | ato | ação | security_result.action_details
security_result.action |
|
| Bytes | flexNumber1 | totalBytes | bytes | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Bytes enviados (bytes_sent) | em | srcBytes | network.sent_bytes | |
| Bytes recebidos (bytes_received) | out | dstBytes | network.received_bytes | |
| Pacotes | cn2 | totalPackets | pacotes | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Horário de início (início) | StartTime | start | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tempo decorrido (decorrido) | cn3 | ElapsedTime | decorrido | network.session_duration.seconds |
| Categoria | cs2 | URLCategory | security_result.category / security_result.category_details | |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| País de origem (srcloc) | SourceLocation | principal.location.country_or_region | ||
| País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
| Pacotes enviados (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Pacotes recebidos (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Motivo do término da sessão (session_end_reason) | reason | SessionEndReason | security_result.summary | |
| Hierarquia do grupo de dispositivos1 (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| Origem da ação (action_source) | gato | ActionSource | action_source | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| UUID da VM de origem (src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
| UUID da VM de destino (dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
| ID/IMSI do túnel (tunnelid/imsi) | PanOSTunnelID | TunnelID | tunnelid/imsi | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Monitorar tag/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão pai (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| Horário de início do pai (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de túnel (tunnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID de associação do SCTP (assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Peças do SCTP | PanOSSCTPChunks | pedaços | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Chunks SCTP enviados (chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Chunks SCTP recebidos (chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| UUID da regra (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| Conexão HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Contagem de flaps do app (link_change_count) | PanLinkChange | link_change_count | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID da política (policy_id) | PanPolicyID | policy_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Interruptores de link (link_switches) | PanLinkDetail | link_switches | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Cluster SD-WAN (sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tipo de dispositivo SD-WAN (sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tipo de cluster SD-WAN (sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Site SD-WAN (sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do grupo de usuários dinâmico (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Endereço XFF (xff_ip) | PanXFFIP | principal.ip | ||
| Categoria do dispositivo de origem (src_category) | PanSrcDeviceCat | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de origem (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de origem (src_model) | PanSrcDeviceModel | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de origem (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de origem (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Versão do SO do dispositivo de origem (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| Nome do host de origem (src_host) | PanSrcHostname | principal.hostname | ||
| Endereço MAC de origem (src_mac) | PanSrcMac | principal.mac | ||
| Categoria do dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de destino (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Versão do SO do dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Nome do host de destino (dst_host) | PanDstHostname | target.hostname | ||
| Endereço MAC de destino (dst_mac) | PanDstMac | target.mac | ||
| ID do contêiner (container_id) | PanContainerName | container_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Namespace do pod (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do POD (pod_name) | PanPODName | pod_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa da origem (src_edl) | PanSrcEDL | src_edl | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de destino (dst_edl) | PanDstEDL | dst_edl | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do host (hostid) | PanGPHostID | hostid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Número de série do dispositivo do usuário (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| Grupo de endereços dinâmico de origem (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| Grupo de endereços dinâmicos de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| Proprietário da sessão (session_owner) | PanHASessionOwner | session_owner | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Carimbo de data/hora de alta resolução (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Um tipo de serviço de fatia (nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Um diferenciador de fatia (nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Subcategoria do aplicativo (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do aplicativo (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do app (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco do aplicativo (risk_of_app) | security_result.severity | |||
| Característica do aplicativo (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do aplicativo (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do aplicativo (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado de autorização do aplicativo (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Subcategoria do aplicativo (subcategory_of_app) | subcategory_of_app1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
User-ID
A tabela a seguir lista os campos de registro do tipo de registro de ID do usuário e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | gato | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Hora de geração (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| IP de origem (ip) | src | src | principal.ip | |
| User (user) | duser | usrName | target.user.userid
target.administrative_domain target.user.email_addresses |
|
| Nome da fonte de dados (datasourcename) | cs4 | DataSourceName | datasourcename | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| ID do evento (eventid) | EventID | eventid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Limite de tempo limite | cn3 | TimeoutThreshold | timeout | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (beginport) | spt | srcPort | principal.port | |
| Porta de destino (endport) | dpt | dstPort | target.port | |
| Origem de dados (datasource) | cs5 | DataSource | fonte de dados | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de origem de dados (datasourcetype) | cs6 | DataSourceType | datasourcetype | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID do sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |
| Tipo de fator (factortype) | cs1 | FactorType | factortype | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tempo de conclusão do fator (factorcompletiontime) | end | FactorCompletionTime | factorcompletiontime | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Número do fator (factorno) | cn1 | FactorNumber | factorno | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Flags do grupo de usuários (ugflags) | PanOSUGFlags | ugflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Usuário por origem (userbysource) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_addresses |
||
| Carimbo de data/hora de alta resolução (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
Correspondência de HIP
A tabela a seguir lista os campos de registro do tipo de registro de correspondência de HIP e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | gato | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | ||
| Hora de geração (time_generated ou cef-formatted-time_generated) | start | startTime | metadata.event_timestamp | |
| Usuário de origem (srcuser) | suser | usrName | principal.user.userid | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome da máquina (machinename) | shost | identHostName | principal.hostname | |
| Sistema operacional (SO) | cs2 | SO | principal.asset.platform_software.platform | |
| Endereço de origem (src) | src | identsrc | principal.ip | |
| HIP (matchname) | gato | HIP | matchname | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de HIP (matchtype) | ID da classe de evento do dispositivo (cabeçalho) | HIPType | matchtype | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID do sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |
| Endereço do sistema IPv6 (srcipv6) | c6a2 | srcipv6 | principal.asset.ip | |
| ID do host (hostid) | PanOSHostID | principal.asset.product_object_id | ||
| Número de série do dispositivo do usuário (serialnumber) | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
| Endereço MAC do dispositivo (mac) | PanOSEndpointMac | principal.asset.mac | ||
| Carimbo de data/hora de alta resolução (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
Tag de IP
A tabela a seguir lista os campos de registro do tipo de registro de tag IP e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | gato | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Hora de geração (time_generated ou cef-formatted-time_generated) | GenerateTime | metadata.event_timestamp | ||
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| IP de origem (ip) | src | src | principal.ip | |
| Nome da tag (tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| ID do evento (event_id) | PanOSEventID | EventID | event_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tempo limite | PanOSTimeout | TimeoutThreshold | timeout | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome da fonte de dados (datasourcename) | PanOSDataSourceName | DataSourceName | datasourcename | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de fonte de dados (datasource_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Subtipo de origem de dados (datasource_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID do sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |
| Carimbo de data/hora de alta resolução (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
Descriptografia
A tabela a seguir lista os campos de registro do tipo de registro de descriptografia e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time ou cef-formatted-receive_time) | rt | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Número de série (serial) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
| Tipo (tipo) | type (Header) | metadata.product_event_type | ||
| Threat/Content Type (subtype) | subtype (Header) | metadata.product_event_type | ||
| Versão da configuração (config_ver) | PanOSConfigVersion | config_ver | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Horário de geração (time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
| Endereço de origem (src) | src | principal.ip | ||
| Endereço de destino (dst) | dst | target.ip | ||
| IP de origem NAT (natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
| IP de destino NAT (natdst) | destinationTranslatedAddress | target.nat_ip | ||
| Regra (rule) | cs1 | security_result.rule_name | ||
| Usuário de origem (srcuser) | suser | principal.user.userid | ||
| Usuário de destino (dstuser) | duser | target.user.userid | ||
| Aplicativo | app | target.application | ||
| Sistema virtual (vsys) | cs3 | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Zona de origem (de) | cs4 | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Zona de destino (para) | cs5 | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Interface de entrada (inbound_if) | deviceInboundInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Interface de saída (outbound_if) | deviceOutboundInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Ação de registro (logset) | cs6 | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Horário registrado (time_received) | PanOSTimeReceivedManagementPlane | - | ||
| ID da sessão (sessionid) | cn1 | network.session_id | ||
| Contagem de repetições (repeatcnt) | PanOSCountOfRepeats/RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Porta de origem (sport) | spt | principal.port | ||
| Porta de destino (dport) | dpt | target.port | ||
| Porta de origem NAT (natsport) | sourceTranslatedPort | principal.nat_port | ||
| Porta de destino NAT (natdport) | destinationTranslatedPort | target.nat_port | ||
| Flags | flexString1 | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Protocolo IP (proto) | proto | network.ip_protocol | ||
| Ação | ato | security_result.action_details
security_result.action |
||
| Túnel | PanOSTunnel | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| UUID da VM de origem (src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
| UUID da VM de destino (dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
| UUID da regra (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| Fase de cliente para firewall (hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fase de firewall para servidor (hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Versão do TLS (tls_version) | PanOSTLSVersion | network.tls.version | ||
| Algoritmo de troca de chaves (tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Algoritmo de criptografia (tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Algoritmo de hash (tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome da política (policy_name) | PanOSPolicyName | policy_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Curva elíptica (ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
| Índice de erros (err_index) | PanOSErrorIndex | err_index | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Status da raiz (root_status) | PanOSRootStatus | root_status | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Status da corrente (chain_status) | PanOSChainStatus | chain_status | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tipo de proxy (proxy_type) | PanOSProxyType | proxy_type | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Número de série do certificado (cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
| Impressão digital do certificado (fingerprint) | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
| Data de início do certificado (notbefore) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
| Data de término do certificado (não depois de) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
| Versão do certificado (cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
| Tamanho do certificado (cert_size) | PanOSCertificateSize | cert_size | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Comprimento do nome comum (cn_len) | PanOSCommonNameLength | cn_len | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Comprimento do nome comum do emissor (issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Comprimento do nome comum raiz (rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Comprimento do SNI (sni_len) | PanOSSNILength | sni_len | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Flags de certificado (cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome comum do assunto (CN) | PanOSCommonName | cn | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome comum do emissor (issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
| Nome comum raiz (root_cn) | PanOSRootCommonName | root_cn | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Indicação de nome do servidor
(sni) |
network.tls.client.server_name | |||
| Erro (erro) | PanOSErrorMessage | erro | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do contêiner (container_id) | PanOSContainerID | container_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Namespace do pod (pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do POD (pod_name) | PanOSContainerName | pod_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa da origem (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de destino (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Grupo de endereços dinâmico de origem (src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
| Grupo de endereços dinâmicos de destino (dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
| Carimbo de data/hora de alta resolução (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Categoria do dispositivo de origem (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de origem (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de origem (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de origem (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de origem (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key e principal.labels.value |
||
| Versão do SO do dispositivo de origem (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| Nome do host de origem (src_host) | PanOSSourceDeviceHost | principal.hostname | ||
| Endereço MAC de origem (src_mac) | PanOSSourceDeviceMac | principal.mac | ||
| Categoria do dispositivo de destino (dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de destino (dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de destino (dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de destino (dst_vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de destino (dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Versão do SO do dispositivo de destino (dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
| Nome do host de destino (dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
| Endereço MAC de destino (dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
| Número de sequência (seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
| Action Flags (actionflags) | PanOSActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do sistema virtual (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| Nome do dispositivo (device_name) | intermediary.hostname | |||
| ID do sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |||
| Subcategoria do aplicativo (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do aplicativo (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do app (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco do aplicativo (risk_of_app) | security_result.severity | |||
| Característica do aplicativo (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do aplicativo (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do aplicativo (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado de autorização do aplicativo (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
Túnel
A tabela a seguir lista os campos de registro do tipo de registro de túnel e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | gato | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Hora de geração (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Endereço de origem (src) | src | src | principal.ip | |
| Endereço de destino (dst) | dst | dst | target.ip | |
| IP de origem NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| IP de destino NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Nome da regra (rule) | cs1 | RuleName | security_result.rule_name | |
| Usuário de origem (srcuser) | suser | SourceUser / usrName | principal.user.userid | |
| Usuário de destino (dstuser) | duser | DestinationUser | target.user.userid | |
| Aplicativo | app | Aplicativo | network.application_protocol | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de origem (de) | cs4 | SourceZone | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de destino (para) | cs5 | DestinationZone | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de entrada (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de saída (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão (sessionid) | cn1 | SessionID | network.session_id | |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (sport) | spt | srcPort | principal.port | |
| Porta de destino (dport) | dpt | dstPort | target.port | |
| Porta de origem NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| Porta de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| Flags | flexString1 | Sinalizações | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo IP (proto) | proto | proto | network.ip_protocol | |
| Ação | ato | ação | security_result.action_details
security_result.action |
|
| Gravidade | security_result.severity e security_result.severity_details | |||
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Local de origem (srcloc) | principal.location.country_or_region | |||
| Local de destino (dstloc) | target.location.country_or_region | |||
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID do túnel (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tag do monitor (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão pai (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| Horário de início do pai (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de túnel (tunnel) | cs2 | TunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Bytes | flexNumber1 | totalBytes | bytes | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Bytes enviados (bytes_sent) | em | srcBytes | network.sent_bytes | |
| Bytes recebidos (bytes_received) | out | dstBytes | network.received_bytes | |
| Pacotes | cn2 | totalPackets | pacotes | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Pacotes enviados (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Pacotes recebidos (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Encapsulamento máximo (max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo desconhecido (unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Verificação estrita (strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Fragmento de túnel (tunnel_fragment) | PanOSTunnelFragment | TunnelFragment | tunnel_fragment | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Sessões criadas (sessions_created) | cfp3 | SessionsCreated | sessions_created | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Sessões encerradas (sessions_closed) | cfp4 | SessionsClosed | sessions_closed | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Motivo do término da sessão (session_end_reason) | reason | SessionEndReason | security_result.summary | |
| Origem da ação (action_source) | gato | ActionSource | action_source | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Horário de início (início) | startTime | start | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tempo decorrido (decorrido) | cn3 | ElapsedTime | decorrido | network.session_duration.seconds |
| Regra de inspeção de túnel (tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = "Regra de inspeção de túnel: %{PanOSTunnelInspectionRule}" | ||
| IP do usuário remoto (remote_user_ip) | PanOSRmtUserIP | target.ip | ||
| ID do usuário remoto (remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| UUID da regra de segurança (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| ID do PCAP (pcap_id) | PanOSPcapID | pcap_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do grupo de usuários dinâmico (dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
| Lista dinâmica externa da origem (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de destino (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Carimbo de data/hora de alta resolução (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Um diferenciador de fatia (nssai_sd) | nssai_sd | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Um tipo de serviço de fatia (nssai_sd) | nssai_sd1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID da sessão do PDU (pdu_session_id) | pdu_session_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Subcategoria do aplicativo (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do aplicativo (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do app (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco do aplicativo (risk_of_app) | risk_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Característica do aplicativo (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do aplicativo (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do aplicativo (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado de autorização do aplicativo (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
Autenticação
A tabela a seguir lista os campos de registro do tipo de registro de autenticação e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | gato | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Hora de geração (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| IP de origem (ip) | src | src | principal.ip | |
| User (user) | duser | usrName | target.user.userid | |
| Normalizar usuário (normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
| Objeto | fname | ObjectName | objeto | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Política de autenticação (authpolicy) | cs4 | AuthPolicy | authpolicy | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID de autenticação (authid) | cn2 | AuthenticationID | authid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Fornecedor | flexString2 | Fornecedor | fornecedor | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Perfil do servidor (serverprofile) | cs1 | ServerProfile | serverprofile | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Descrição (decresc.) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
| Tipo de cliente (clienttype) | cs5 | ClientType | clienttype | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de evento (evento) | msg | msg | extensions.auth.auth_details | |
| Número do fator (factorno) | cn1 | FactorNumber | factorno | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID do sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |||
| Protocolo de autenticação (authproto) | authproto | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| UUID da regra (rule_uuid) | PanOSRuleUUID/RuleUUID | security_result.rule_id | ||
| Carimbo de data/hora de alta resolução (high_res _timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Categoria do dispositivo de origem (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de origem (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de origem (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de origem (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de origem (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Versão do SO do dispositivo de origem (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| Nome do host de origem (src_host) | PanOSSourceHostname | principal.hostname | ||
| Endereço MAC de origem (src_mac) | PanOSSourceMac | principal.asset.mac | ||
| Região (região) | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
| User Agent (user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
| ID da sessão(sessionid) | PanOSTrafficSessionID | network.session_id |
URL
A tabela a seguir lista os campos de registro do tipo de registro de URL e os campos do UDM correspondentes.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Receive Time (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | gato | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Horário de geração | metadata.event_timestamp | |||
| Endereço de origem (src) | src | src | principal.ip | |
| Endereço de destino (dst) | dst | dst | target.ip | |
| IP de origem NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| IP de destino NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Regra (rule) | cs1 | RuleName | security_result.rule_name | |
| Usuário de origem (srcuser) | suser | SourceUser | principal.user.userid | |
| Usuário de destino (dstuser) | duser | DestinationUser | target.user.userid | |
| Aplicativo | app | Aplicativo | network.application_protocol | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de origem (de) | cs4 | SourceZone | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de destino (para) | cs5 | DestinationZone | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de entrada (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de saída (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Horário registrado | time_logged | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID da sessão (sessionid) | cn1 | SessionID | network.session_id | |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (sport) | spt | srcPort | principal.port | |
| Porta de destino (dport) | dpt | dstPort | target.port | |
| Porta de origem NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| Porta de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| Flags | flexString1 | Sinalizações | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo IP (proto) | proto | proto | network.ip_protocol | |
| Ação | ato | ação | security_result.action_details
security_result.action |
|
| URL/nome de arquivo (diversos) | Diversos | target.file.full_path
target.url |
||
| Nome da ameaça/conteúdo (threatid) | gato | ThreatID | security_result.threat_id | |
| Categoria | cs2 | URLCategory | categoria | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Gravidade | number-of-severity (cabeçalho) | Gravidade | security_result.severity
security_result.severity_details |
|
| Direção (direction) | flexString2 | Direção | network.direction | |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| País de origem (srcloc) | SourceLocation | principal.location.country_or_region | ||
| País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
| contenttype (contenttype) | requestContext | ContentType | contenttype | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| filedigest (filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
| nuvem | Cloud | nuvem | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| url_idx (url_idx) | URLIndex | url_idx | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| user_agent (user_agent) | requestClientApplication | UserAgent | network.http.user_agent | |
| filetype (filetype) | about.file.mime_type | |||
| xff (xff) | PanOSXForwarderfor | identSrc | xff | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| referenciador | PanOSReferer | Referenciador | network.http.referral_url | |
| remetente | network.email.from | |||
| subject (assunto) | Assunto | network.email.subject | ||
| destinatário | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Hierarquia do DG, nível 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do DG no nível 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do DG, nível 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do DG, nível 4 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url (file_url) | about.url | |||
| UUID da VM de origem (src_uuid) | SrcUUID | principal.asset.asset_id | ||
| UUID da VM de destino (dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
| ID/IMSI do túnel (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Monitorar tag/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão pai (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| Horário de início da sessão do responsável (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Túnel | PanOSTunnelType | TunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| contentver (contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| flags_de_sinais (flags_de_sinais) | sig_flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID de associação do SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do protocolo de payload (ppid) | PanOSPPID | ppid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista de categorias de URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| UUID da regra (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Conexão HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| dynusergroup_name (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Endereço XFF (xff_ip) | PanXFFIP | principal.ip | ||
| Categoria do dispositivo de origem (src_category) | PanSrcDeviceCat | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de origem (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de origem (src_model) | PanSrcDeviceModel | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de origem (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de origem (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Versão do SO do dispositivo de origem (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| Nome do host de origem (src_host) | PanSrcHostname | src_host | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Endereço MAC de origem (src_mac) | PanSrcMac | principal.mac | ||
| Categoria do dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de destino (dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key e target.labels.value |
||
| Versão do SO do dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Nome do host de destino (dst_host) | PanPODNamespace | target.hostname | ||
| Endereço MAC de destino (dst_mac) | PanDstMac | target.mac | ||
| ID do contêiner (container_id) | PanContainerName | container_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Namespace do pod (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do POD (pod_name) | PanPODName | pod_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa da origem (src_edl) | PanSrcEDL | src_edl | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de destino (dst_edl) | PanDstEDL | dst_edl | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do host (hostid) | PanGPHostID | hostid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Número de série (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| domain_edl (domain_edl) | PanDomainEDL | domain_edl | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Grupo de endereços dinâmico de origem (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| Grupo de endereços dinâmicos de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| partial_hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Carimbo de data/hora de alta resolução (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Motivo (reason) | PanReasonFilteringAction | reason | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| justificação | PanJustification | justificativa | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| nssai_sst (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Subcategoria do app (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do app (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do app (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco do app (risk_of_app) | risk_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Característica do app (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do app (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| App com túneis (tunneled_app) | tunneled_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do app (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado do app sancionado (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
Dados
A tabela a seguir lista os campos de registro do tipo de registro de dados e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Receive Time (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | gato | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Horário de geração | metadata.event_timestamp | |||
| Endereço de origem (src) | src | src | principal.ip | |
| Endereço de destino (dst) | dst | dst | target.ip | |
| IP de origem NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| IP de destino NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Regra (rule) | cs1 | RuleName | security_result.rule_name | |
| Usuário de origem (srcuser) | suser | SourceUser | principal.user.userid | |
| Usuário de destino (dstuser) | duser | DestinationUser | target.user.userid | |
| Aplicativo | app | Aplicativo | network.application_protocol | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de origem (de) | cs4 | SourceZone | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de destino (para) | cs5 | DestinationZone | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de entrada (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de saída (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Horário registrado | time_logged | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID da sessão (sessionid) | cn1 | SessionID | network.session_id | |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (sport) | spt | srcPort | principal.port | |
| Porta de destino (dport) | dpt | dstPort | target.port | |
| Porta de origem NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| Porta de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| Flags | flexString1 | Sinalizações | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo IP (proto) | proto | proto | network.ip_protocol | |
| Ação | ato | ação | security_result.action_details
security_result.action |
|
| URL/nome de arquivo (diversos) | Diversos | target.file.full_path
target.url |
||
| Nome da ameaça/conteúdo (threatid) | gato | ThreatID | security_result.threat_id | |
| Categoria | cs2 | URLCategory | categoria | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Gravidade | number-of-severity (cabeçalho) | Gravidade | security_result.severity
security_result.severity_details |
|
| Direção (direction) | flexString2 | Direção | network.direction | |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Action Flags (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| País de origem (srcloc) | SourceLocation | principal.location.country_or_region | ||
| País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
| contenttype (contenttype) | ContentType | contenttype | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| filedigest (filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
| nuvem | Cloud | nuvem | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| url_idx (url_idx) | URLIndex | url_idx | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| user_agent (user_agent) | network.http.user_agent | |||
| filetype (filetype) | about.file.mime_type | |||
| xff (xff) | xff | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| referenciador | network.http.referral_url | |||
| remetente | network.email.from | |||
| subject (assunto) | Assunto | network.email.subject | ||
| destinatário | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Hierarquia do DG, nível 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do DG no nível 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do DG, nível 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do DG, nível 4 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url (file_url) | about.url | |||
| UUID da VM de origem (src_uuid) | SrcUUID | principal.asset.asset_id | ||
| UUID da VM de destino (dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | RequestMethod | network.http.method | ||
| ID/IMSI do túnel (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Monitorar tag/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão pai (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| Horário de início da sessão do responsável (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Túnel | PanOSTunnelType | TunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| contentver (contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| flags_de_sinais (flags_de_sinais) | sig_flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID de associação do SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do protocolo de payload (ppid) | PanOSPPID | ppid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista de categorias de URL (url_category_list) | url_category_list | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| UUID da regra (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Conexão HTTP/2 (http2_connection) | http2_connection | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| dynusergroup_name (dynusergroup_name) | dynusergroup_name | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Endereço XFF (xff_ip) | principal.ip | |||
| Categoria do dispositivo de origem (src_category) | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Perfil do dispositivo de origem (src_profile) | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Modelo do dispositivo de origem (src_model) | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Fornecedor do dispositivo de origem (src_vendor) | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Família do SO do dispositivo de origem (src_osfamily) | principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|||
| Versão do SO do dispositivo de origem (src_osversion) | principal.asset.software.version | |||
| Nome do host de origem (src_host) | src_host | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Endereço MAC de origem (src_mac) | principal.mac | |||
| Categoria do dispositivo de destino (dst_category) | dst_category | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Perfil do dispositivo de destino (dst_profile) | dst_profile | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Modelo do dispositivo de destino (dst_model) | dst_model | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Fornecedor do dispositivo de destino (dst_vendor) | dst_vendor | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Família do SO do dispositivo de destino (dst_osfamily) | target.asset.platform_software.platform
target.labels.key e target.labels.value |
|||
| Versão do SO do dispositivo de destino (dst_osversion) | target.asset.software.version | |||
| Nome do host de destino (dst_host) | target.hostname | |||
| Endereço MAC de destino (dst_mac) | target.mac | |||
| ID do contêiner (container_id) | container_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Namespace do pod (pod_namespace) | pod_namespace | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nome do POD (pod_name) | pod_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Lista dinâmica externa da origem (src_edl) | src_edl | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Lista dinâmica externa de destino (dst_edl) | dst_edl | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID do host (hostid) | hostid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Número de série (serialnumber) | principal.asset.hardware.serial_number | |||
| domain_edl (domain_edl) | domain_edl | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Grupo de endereços dinâmico de origem (src_dag) | principal.group.group_display_name | |||
| Grupo de endereços dinâmicos de destino (dst_dag) | target.group.group_display_name | |||
| partial_hash (partial_hash) | partial_hash | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Carimbo de data/hora de alta resolução (high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|||
| Motivo (reason) | reason | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| justificação | justificativa | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| nssai_sst (nssai_sst) | nssai_sst | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Subcategoria do app (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do app (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do app (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco do app (risk_of_app) | risk_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Característica do app (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do app (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| App com túneis (tunneled_app) | tunneled_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do app (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado do app sancionado (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
GlobalProtect
A tabela a seguir lista os campos de registro do tipo de registro do GlobalProtect e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de recebimento (receive_time) | rt | received_time | metadata.event_timestamp | |
| Número de série (serial) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (Header) | metadata.product_event_type | ||
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Horário de geração (time_generated) | PanOSLogTimeStamp | generated_timestamp | metadata.event_timestamp | |
| Sistema virtual (vsys) | PanOSVirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do evento (eventid) | PanOSEventID | event_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fase | PanOSStage | etapa | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Método de autenticação (auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
| Tipo de túnel (tunnel_type) | PanOSTunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Usuário de origem (srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
| Região de origem (srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
| Nome da máquina (machinename) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
| IP público (public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
| IPv6 público (public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
| IP particular (private_ip) | PanOSPrivateIPv4 | principal.ip | ||
| IPv6 particular (private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
| ID do host (hostid) | PanOSHostID | hostid | principal.asset.asset_id | |
| Número de série (serialnumber) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
| Versão do cliente (client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| SO do cliente (client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
| Versão do SO do cliente (client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
| Contagem de repetições (repeatcnt) | PanOSCountOfRepeats | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Motivo (reason) | PanOSQuarantineReason | security_result.summary | ||
| Erro (erro) | PanOSConnectionError | erro | security_result.description | |
| Descrição (opaco) | PanOSDescription | security_result.description | ||
| Status | PanOSEventStatus | status | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Local (local) | PanOSGPGatewayLocation | target.location.country_or_region | ||
| Duração do login (login_duration) | PanOSLoginDuration | network.session_duration | ||
| Método de conexão (connect_method) | PanOSConnectionMethod | connect_method | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Código do erro (error_code) | PanOSConnectionErrorID | error_code | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Portal | PanOSPortal | portal | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Número de sequência (seqno) | PanOSSequenceNo | metadata.product_log_id | ||
| Action Flags (actionflags) | PanOSActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Carimbo de data/hora de alta resolução (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Método de seleção de gateway (selection_type) | PanOSGatewaySelectionType | selection_type | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tempo de resposta do SSL (response_time) | PanOSSSLResponseTime | response_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Prioridade da gateway (prioridade) | PanOSGatewayPriority | prioridade | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Gateways tentados (attempted_gateways) | PanOSAttemptedGateways | attempted_gateways | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do gateway (gateway) | PanOSAttemptedGateways | gateway | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Hierarquia de grupos de dispositivos (dg_hier_level_2) | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Hierarquia de grupos de dispositivos (dg_hier_level_4) | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nome do sistema virtual (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| Nome do dispositivo (device_name) | target.hostname | |||
| ID do sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id |
Correlação
A tabela a seguir lista os campos de registro do tipo de registro de correlação e os campos correspondentes do UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chave de rótulo do Google Security Operations | Campo de UDM |
|---|---|---|---|---|
| Hora de geração (time_generated ou cef-formatted-time_generated) | startTime | generated_timestamp | metadata.event_timestamp | |
| Endereço de origem (src) | src | principal.ip | ||
| Usuário de origem (srcuser) | SourceUser / usrName | principal.user.userid | ||
| Sistema virtual (vsys) | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Categoria | security_result.category_details | |||
| Gravidade | Gravidade | security_result.severity e security_result.severity_details | ||
| Nível 1 da hierarquia do grupo de dispositivos | DeviceGroupHierarchyL1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nível 2 da hierarquia do grupo de dispositivos | DeviceGroupHierarchyL2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nível 3 da hierarquia do grupo de dispositivos | DeviceGroupHierarchyL3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nível 4 da hierarquia do grupo de dispositivos | DeviceGroupHierarchyL4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nome do sistema virtual (vsys_name) | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
| Nome do dispositivo (device_name) | DeviceName | intermediary.hostname | ||
| ID do sistema virtual (vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | ||
| Nome do objeto (objectname) | ObjectName | target.resource.name | ||
| ID do objeto (object_id) | ObjectID | target.resource.product_object_id |
Referência de mapeamento de campo: tipos de registro para tipo de evento da UDM
A tabela a seguir lista os tipos de registro do firewall Palo Alto Networks e os tipos de evento do UDM correspondentes.
| Tipo de registro | Tipo de evento do UDM |
| Tráfego | NETWORK_CONNECTION |
| Ameaça | NETWORK_CONNECTION |
| Filtragem de URL | NETWORK_CONNECTION |
| WildFire | NETWORK_CONNECTION
Os registros de envios do WildFire são um subtipo do tipo de registro de ameaças e usam o mesmo formato de syslog. |
| Filtragem de dados | NETWORK_CONNECTION |
| Túnel | NETWORK_CONNECTION |
| Config | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
O valor do campo "Command (cmd)" determina o mapeamento do tipo de evento da UDM. Se o valor do campo cmd for "add" ou "clone", SETTING_CREATION será definido. Se o valor do campo cmd for "delete", SETTING_DELETION será definido. Se o valor do campo cmd for editar, mover, renomear, definir ou confirmar, SETTING_MODIFICATION será definido. Se o valor do campo cmd não contiver valores, SETTING_UNCATEGORIZED será definido. |
| Sistema |
Se o valor do subtipo for "dhcp", NETWORK_DHCP será definido. Se o valor do subtipo for "auth", USER_LOGIN será definido. Se o valor da descrição for "logged in", USER_LOGIN será definido. Se o valor da descrição for "desconectado", o USER_LOGOUT será definido. Para outros valores do subtipo, GENERIC_EVENT é definido. |
| Correspondência de HIP | NETWORK_CONNECTION |
| Tag IP | GENERIC_EVENT |
| User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
Se o valor do subtipo for "login", USER_LOGIN será definido. Se o valor do subtipo for "logout", USER_LOGOUT será definido. Se o subtipo não tiver nenhum valor, USER_UNCATEGORIZED será definido. |
| Descriptografia | NETWORK_CONNECTION |
| Autenticação | GENERIC_EVENT |