Coletar registros de firewall da Palo Alto Networks
Visão geral
Este documento descreve como configurar o syslog e um encaminhador do Google Security Operations para coletar registros de firewall da Palo Alto Networks. Este documento também explica como os campos de registro de firewall da Palo Alto Networks são mapeados para os campos do Modelo de dados unificado (UDM, na sigla em inglês) das Operações de segurança do Google.
Para uma visão geral sobre a ingestão de dados das Operações de segurança do Google, consulte Ingestão de dados para as Operações de segurança do Google.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência PAN_FIREWALL.
Antes de começar
Para entender os componentes implantados para coletar logs do firewall da Palo Alto Networks, analise a arquitetura de implantação. Cada implantação de cliente pode ser diferente a partir dessa representação e podem ser mais complexos.
O diagrama a seguir mostra como configurar o syslog em um dispositivo Palo Alto Networks firewall e instalar um encaminhador de Operações de Segurança do Google em um servidor Linux para encaminhar para as Operações de segurança do Google. O analisador oferece suporte aos registros gravados nos formatos de dados: valores separados por vírgula (CSV), Common Event Format (CEF), e o formato estendido de evento de registro (LEEF, na sigla em inglês).
Verificar os formatos de registro e as versões PAN-OS que o analisador das Operações de segurança do Google suporta. A tabela a seguir lista os formatos de registro e o PAN-OS correspondente compatíveis com o analisador de Operações de Segurança do Google:
Formato do registro Versão do PAN-OS CSV 10.1.3 CEF 10.0.0 FOLHA 9.1.0 Verifique os tipos de registro de firewall da Palo Alto Networks compatíveis com o analisador de Operações de segurança do Google. O analisador de Operações de segurança do Google oferece suporte aos seguintes tipos de registro de firewall da Palo Alto Networks:
- Tráfego
- Ameaça
- Envios do WildFire
- Inspeção do túnel
- Config
- Sistema
- Correspondência de HIP
- Tag IP
- User-ID
- Descriptografia
- Autenticação
- Filtragem de URL
- Filtragem de dados
- GlobalProtect
- Correlação
Para mais informações sobre os tipos de registro de firewall da Palo Alto Networks, consulte Tipos de registro do PAN-OS.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Antes de usar o analisador de firewall da Palo Alto Networks, confira As mudanças nos mapeamentos de campo entre o analisador anterior e o atual da Palo Alto Networks. Como parte da migração, verifique se as regras, pesquisas, painéis ou outros processos que dependem dos campos originais usam os campos atualizados.
Por exemplo, na versão anterior do analisador, o campo de registro
categoryé mapeado para o Campo de UDMsecurity_result.description. No analisador de firewall atual da Palo Alto Networks, o campo de registrocategoryé mapeado para o campo UDMsecurity_result.category_details. Se você migrar para o analisador de firewall atual da Palo Alto Networks e usar o campocategorynas regras, modifique as regras para usar o campo UDMsecurity_result.category_detailsdo analisador atual.
Configurar o syslog e o encaminhador do Google Security Operations
Para configurar o syslog e o encaminhador de operações de segurança do Google, siga estas etapas:
Para monitorar registros CSV, configure o perfil do servidor syslog. Para mais informações, consulte Configurar o perfil do servidor syslog.
Ao configurar o perfil do servidor syslog, especifique "Padrão". como o personalizado formato de registro.
Para monitorar os registros do CEF, configure o firewall da Palo Alto Networks para encaminhar esses registros. Para mais do projeto, faça o download do PDF do guia de integração do PAN-OS CEF e consulte a seção "Configuração do NGFW da Palo Alto Networks para gerar eventos de CEF" nesta seção.
Para monitorar registros LEEF, configure o perfil do servidor Syslog. Para mais informações, consulte Encaminhamento de registro personalizado no formato LEEF.
Configure o encaminhador do Google Security Operations para enviar registros ao Google Security Operations. Para mais informações, consulte Instalar e configurar o forwarder no Linux. Veja a seguir um exemplo de configuração de encaminhador das Operações de segurança do Google:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Referência de mapeamento de campo: campos de registros de firewall PAN para campos de UDM
Nesta seção, explicamos como o analisador mapeia a Palo Alto Networks de firewall aos campos de evento UDM das Operações de Segurança do Google para cada tipo de registro.
A chave de rótulo do Google Security Operations se refere ao nome da chave mapeada para o campo UDM Labels.key. Por exemplo, no caso do "Sistema virtual" o nome do campo é "cs3" no formato CEF e é "VirtualSystem". no formato LEEF. O campo do UDM "about.labels.key" contém o valor "vsys" e o campo do UDM "about.labels.value" contém o valor desse campo.
Alguns dos nomes de campo do CEF ou LEEF não têm um nome correspondente aos nomes de campo do CSV. Nesses casos, se você adicionar seu próprio nome de variável no formato de registro personalizado, no perfil do syslog, o analisador não o mapeará para o campo UDM.
Consulte as seções a seguir para conferir a referência de mapeamento de cada tipo de registro:
- Sistema
- Configuração
- Ameaça/incêndio florestal
- Tráfego
- ID do usuário
- Correspondência de HP
- Tag IP
- Descriptografia
- Túnel
- Authentication
- URL
- Dados
- GlobalProtect
- Correlação
Sistema
A tabela a seguir lista os campos de registro do tipo de registro do sistema e os campos correspondentes do UDM.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (Header) | cat | metadata.product_event_type está definido como "%{type} - %{subtype}". | |
| Tipo de ameaça/conteúdo (subtipo) | subtype (Header) | Subtipo | metadata.product_event_type está definido como "%{type} - %{subtype}". | |
| Tempo gerado (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID do evento (eventid) | cat | eventid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Objeto (objeto) | fname | Nome do arquivo | objeto | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Módulo | flexString2 | Módulo | module | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Gravidade (gravidade) | $number-of-severity(header) | Severity | security_result.severity e security_result.severity_details | |
| Descrição (opaca) | msg | msg | metadata.description | |
| principal_user_userid (este campo é extraído do campo msg) | principal.user.userid | |||
| principal_ip3 (esse campo é extraído do campo msg) | principal.ip | |||
| Motivo (esse campo é extraído do campo "msg") | security_result.description | |||
| server_address: esse campo é extraído do campo msg. | target.ip | |||
| server_profile (este campo é extraído do campo msg). | additional.fields.key e additional.fields.value.string_value | |||
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| Carimbo de data/hora em alta resolução (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
Config
A tabela a seguir lista os campos de registro do tipo de registro de configuração e os campos de UDM correspondentes.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (Header) | cat | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtipo (cabeçalho) | metadata.product_event_type | ||
| Tempo gerado (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Host | shost | src | principal.ip/hostname | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Comando (cmd) | ato | msg | cmd | metadata.description |
| Administrador (admin) | duser | usrName | principal.user.userid | |
| Cliente | destinationServiceName | cliente | principal.application | |
| Resultado (resultado) | ID da assinatura (cabeçalho) (motivo) | Resultado | security_result.summary | |
| Caminho de configuração (caminho) | msg | ConfigurationPath | principal.process.command_line | |
| Detalhes antes da mudança (before_change_detail) | cs1 | BeforeChangeDetail | before_change_detail | target.resource.attribute.labels.key/value |
| Detalhes após a mudança (after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attribute.labels.key/value |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| Grupo de dispositivos (dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
| Comentário de auditoria (comentário) | PanOSPolicyAuditComment | comentário | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
Ameaça/WildFire
A tabela a seguir lista os campos de registro do tipo de Ameaças/WildFire e os campos de UDM correspondentes.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (número de série) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (Header) | cat | metadata.product_event_type | |
| Threat/Content Type (subtype) | gato/subtipo (cabeçalho) | Subtipo | metadata.product_event_type | |
| Gerar tempo (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Endereço de origem (src) | src | src | principal.ip | |
| Endereço de destino (dst) | dst | dst | target.ip | |
| IP de origem NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| IP de destino do NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Nome da regra (regra) | cs1 | RuleName | security_result.rule_name | |
| Usuário de origem (srcuser) | suser | SourceUser / usrName | principal.user.userid | |
| Usuário de destino (dstuser) | duser | DestinationUser | target.user.userid | |
| Aplicativo | app | Aplicativo | target.application | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de origem (de) | cs4 | SourceZone | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de destino (para) | cs5 | DestinationZone | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de entrada (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de saída (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão (sessionid) | cn1 | SessionID | network.session_id | |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (sport) | spt | srcPort | principal.port | |
| Porta de destino (dport) | DPT | dstPort | target.port | |
| Porta de origem NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| Porta de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| Flags | flexString1 | Sinalizações | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo IP (proto) | proto | proto | network.ip_protocol | |
| Ação | ato | ação | security_result.action_details
security_result.action |
|
| URL/nome de arquivo (diversos) | solicitação | Diversos | target.file.full_path (se o subtipo for "file", "Vulnerability", "fire-vírus" ou "phishing", o campo "misc" será mapeado para target.file.full_path) target.url (se o subtipo for "url", o campo "misc" será mapeado para target.url e target.hostname) target.hostname (se o subtipo for "spyware" ou "vulnerability", o campo "misc" será mapeado para target.file.full_path e target.url) |
|
| Nome da ameaça/conteúdo (ameaça) | cat | ThreatID | security_result.threat_name | |
| Categoria | cs2 | URLCategory | security_result.category_details | |
| Gravidade | number-of-severity(header) | Severity | security_result.severity e security_result.severity_details | |
| Direção (direction) | flexString2 | Direção | network.direction | |
| Número da sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| País de origem (srcloc) | SourceLocation | principal.location.country_or_region | ||
| País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
| Tipo de conteúdo (contenttype) | ContentType | tipo de conteúdo | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID PCAP (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Resumo do arquivo | fileHash | FileDigest | sobre.file.sha1/md5/sha256 | |
| Nuvem | filePath | Nuvem | nuvem | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Índice de URL (url_idx) | URLIndex | url_idx | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| User Agent (user_agent) | network.http.user_agent | |||
| Tipo de arquivo (filetype) | fileType | FileType | about.file.mime_type | |
| X-Forwarded-For (xff) | principal.ip | |||
| Referenciador | network.http.referral_url | |||
| Remetente (remetente) | suid | Remetente | network.email.from | |
| Assunto (assunto) | msg | Assunto | network.email.subject | |
| Destinatário (destinatário) | duid | Destinatário | network.email.to | |
| ID do relatório (reportid) | oldFileId | ReportID | reportid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| UUID da VM de origem (src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
| UUID da VM de destino (dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
| Método HTTP (http_method) | RequestMethod | network.http.method | ||
| ID/IMSI do túnel (tunnel_id/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Monitorar tag/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão pai (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| Horário de início da sessão mãe (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de túnel (túnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Categoria da ameaça (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| Versão do conteúdo (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da associação do SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do protocolo de payload (ppid) | PanOSPPID | ppid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Cabeçalhos HTTP (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista de categorias de URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| UUID da regra (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| Conexão HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do grupo de usuários dinâmico (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Endereço XFF (xff_ip) | PanXFFIP | principal.ip | ||
| Categoria do dispositivo de origem (src_category) | PanSrcDeviceCat | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de origem (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de origem (src_model) | PanSrcDeviceModel | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de origem (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de origem (src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Versão do SO do dispositivo de origem (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| Nome do host de origem (src_host) | PanSrcHostname | principal.hostname | ||
| Endereço MAC de origem (src_mac) | PanSrcMac | principal.mac | ||
| Categoria do dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor de dispositivo de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de destino (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Versão do SO do dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Nome do host de destino (dst_host) | PanDstHostname | target.hostname | ||
| Endereço MAC de destino (dst_mac) | PanDstMac | target.mac | ||
| ID do contêiner (container_id) | PanContainerName | container_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Namespace do pod (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do POD (pod_name) | PanPODName | pod_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa da origem (src_edl) | PanSrcEDL | src_edl | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de destino (dst_edl) | PanDstEDL | dst_edl | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do host (hostid) | PanGPHostID | hostid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Número de série do dispositivo do usuário (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| EDL do domínio (domain_edl) | PanDomainEDL | domain_edl | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Grupo de endereços dinâmico de origem (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| Grupo de endereços dinâmicos de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| Hash parcial (partial_hash) | PanPartialHash | partial_hash | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Carimbo de data/hora em alta resolução (carimbo de data/hora high_res) | PanTimeHighRes | high_res timestamp | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Motivo | PanReasonFilteringAction | reason | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Justificativa | PanJustification | justificativa | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Um tipo de serviço de fatia (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Subcategoria do aplicativo (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do aplicativo (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do app (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco de aplicativo (risk_of_app) | risk_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Característica do aplicativo (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do aplicativo (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do aplicativo (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado do app sujeito a sanções (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
Tráfego
A tabela a seguir lista os campos de registro do tipo de registro de tráfego e os campos correspondentes do UDM.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (cabeçalho) | cat/Type | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Horário gerado (time_generated ou cef-formatted-time_generated) | start | metadata.event_timestamp | ||
| Endereço de origem (src) | src | src | principal.ip | |
| Endereço de destino (dst) | dst | dst | target.ip | |
| IP de origem NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| IP de destino do NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Nome da regra (regra) | cs1 | RuleName | security_result.rule_name | |
| Usuário de origem (srcuser) | suser | SourceUser | principal.user.userid | |
| Usuário de destino (dstuser) | duser | DestinationUser | target.user.userid | |
| Aplicativo | app | Aplicativo | target.application | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de origem (de) | cs4 | SourceZone | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de destino (para) | cs5 | DestinationZone | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de entrada (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de saída (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão (sessionid) | cn1 | SessionID | network.session_id | |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (sport) | spt | srcPort | principal.port | |
| Porta de destino (dport) | DPT | dstPort | target.port | |
| Porta de origem NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| Porta de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| Flags | flexString1 | Sinalizações | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo IP (proto) | proto | proto | network.ip_protocol | |
| Ação | ato | ação | security_result.action_details
security_result.action |
|
| Bytes | flexNumber1 | totalBytes | bytes | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Bytes enviados (bytes_sent) | em | srcBytes | network.sent_bytes | |
| Bytes recebidos (bytes_received) | out | dstBytes | network.received_bytes | |
| Pacotes | cn2 | totalPackets | pacotes | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Horário de início (início) | StartTime | start | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tempo decorrido (elapsed) | cn3 | ElapsedTime | decorrido | network.session_duration.seconds |
| Categoria (categoria) | cs2 | URLCategory | security_result.category / security_result.category_details | |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| País de origem (srcloc) | SourceLocation | principal.location.country_or_region | ||
| País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
| Pacotes enviados (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Pacotes recebidos (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Motivo do término da sessão (session_end_reason) | reason | SessionEndReason | security_result.summary | |
| Hierarquia do grupo de dispositivos1 (dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| Origem da ação (action_source) | cat | ActionSource | action_source | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| UUID da VM de origem (src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
| UUID da VM de destino (dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
| ID de túnel/IMSI (tunnelid/imsi) | PanOSTunnelID | TunnelID | tunnelid/imsi | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Monitorar tag/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão pai (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| Horário de início do pai (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de túnel (túnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da associação do SCTP (assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Blocos SCTP (blocos) | PanOSSCTPChunks | pedaços | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Chunks SCTP enviados (chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Chunks SCTP recebidos (chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| UUID da regra (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| Conexão HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Contagem de flaps do app (link_change_count) | PanLinkChange | link_change_count | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID da política (policy_id) | PanPolicyID | policy_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Interruptores de link (link_switches) | PanLinkDetail | link_switches | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Cluster SD-WAN (sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tipo de dispositivo SD-WAN (sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tipo de cluster SD-WAN (sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Site SD-WAN (sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do grupo de usuários dinâmico (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Endereço XFF (xff_ip) | PanXFFIP | principal.ip | ||
| Categoria do dispositivo de origem (src_category) | PanSrcDeviceCat | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de origem (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de origem (src_model) | PanSrcDeviceModel | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de origem (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de origem (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Versão do SO do dispositivo de origem (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| Nome do host de origem (src_host) | PanSrcHostname | principal.hostname | ||
| Endereço MAC de origem (src_mac) | PanSrcMac | principal.mac | ||
| Categoria do dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor de dispositivo de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de destino (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Versão do SO do dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Nome do host de destino (dst_host) | PanDstHostname | target.hostname | ||
| Endereço MAC de destino (dst_mac) | PanDstMac | target.mac | ||
| ID do contêiner (container_id) | PanContainerName | container_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Namespace do pod (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do POD (pod_name) | PanPODName | pod_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa da origem (src_edl) | PanSrcEDL | src_edl | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de destino (dst_edl) | PanDstEDL | dst_edl | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do host (hostid) | PanGPHostID | hostid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Número de série do dispositivo do usuário (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| Grupo de endereços dinâmico de origem (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| Grupo de endereços dinâmicos de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| Proprietário da sessão (session_owner) | PanHASessionOwner | session_owner | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Carimbo de data/hora em alta resolução (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Um tipo de serviço de Slice (nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Um diferencial de fração (nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Subcategoria do aplicativo (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do aplicativo (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do app (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco de aplicativo (risk_of_app) | security_result.severity | |||
| Característica do aplicativo (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do aplicativo (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do aplicativo (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado do app sujeito a sanções (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Subcategoria do aplicativo (subcategory_of_app) | subcategory_of_app1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
User-ID
A tabela a seguir lista os campos de registro do tipo de registro de ID do usuário e os campos correspondentes do UDM.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (Header) | cat | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Tempo gerado (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| IP de origem (IP) | src | src | principal.ip | |
| User (user) | duser | usrName | target.user.userid
target.administrative_domain target.user.email_addresses |
|
| Nome da fonte de dados (datasourcename) | cs4 | DataSourceName | datasourcename | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| ID do evento (eventid) | EventID | eventid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Contagem repetida (repetição) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Limite de tempo limite | cn3 | TimeoutThreshold | timeout | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (beginport) | spt | srcPort | principal.port | |
| Porta de destino (endport) | DPT | dstPort | target.port | |
| Origem de dados (datasource) | cs5 | DataSource | fonte de dados | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de origem de dados (datasourcetype) | cs6 | DataSourceType | datasourcetype | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID do sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |
| Tipo de fator (factortype) | cs1 | FactorType | factortype | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tempo de conclusão do fator (factorcompletiontime) | end | FactorCompletionTime | factorcompletiontime | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Número do fator (factorno) | cn1 | FactorNumber | fatorno | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Sinalizações do grupo de usuários (ugflags) | PanOSUGFlags | ugflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Usuário por origem (userbysource) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_addresses |
||
| Carimbo de data/hora de alta resolução (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
Correspondência de HIP
A tabela a seguir lista os campos de registro do tipo de registro de correspondência de HIP e os campos de UDM correspondentes.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (Header) | cat | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | ||
| Horário gerado (time_generated ou cef-formatted-time_generated) | start | startTime | metadata.event_timestamp | |
| Usuário de origem (srcuser) | Suser | usrName | principal.user.userid | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome da máquina (machinename) | shost | identHostName | principal.hostname | |
| Sistema operacional (SO) | cs2 | SO | principal.asset.platform_software.platform | |
| Endereço de origem (src) | src | identsrc | principal.ip | |
| HIP (matchname) | cat | HIP | matchname | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Contagem repetida (repetição) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de HIP (matchtype) | ID da classe de evento do dispositivo (cabeçalho) | HIPType | tipo de correspondência | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID do sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |
| Endereço de sistema IPv6 (srcipv6) | c6a2 | srcipv6 | principal.asset.ip | |
| ID do host (hostid) | PanOSHostID | principal.asset.product_object_id | ||
| Número de série do dispositivo do usuário (serialnumber) | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
| Endereço MAC do dispositivo (Mac) | PanOSEndpointMac | principal.asset.mac | ||
| Carimbo de data/hora de alta resolução (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
Tag de IP
A tabela a seguir lista os campos de registro do tipo de registro de tag IP e os campos correspondentes do UDM.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (Header) | cat | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Hora de geração (time_generated ou cef-formatted-time_generated) | GenerateTime | metadata.event_timestamp | ||
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| IP de origem (IP) | src | src | principal.ip | |
| Nome da tag (tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| ID do evento (event_id) | PanOSEventID | EventID | event_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Contagem repetida (repetição) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tempo limite | PanOSTimeout | TimeoutThreshold | timeout | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome da fonte de dados (datasourcename) | PanOSDataSourceName | DataSourceName | datasourcename | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de fonte de dados (datasource_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Subtipo de origem de dados (datasource_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID do sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |
| Carimbo de data/hora de alta resolução (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
Descriptografia
A tabela a seguir lista os campos de registro do tipo de registro de descriptografia e os campos de UDM correspondentes.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time ou cef-formatted-receive_time) | rt | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Número de série (serial) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
| Tipo | type (cabeçalho) | metadata.product_event_type | ||
| Threat/Content Type (subtype) | subtipo (cabeçalho) | metadata.product_event_type | ||
| Versão da configuração (config_ver) | PanOSConfigVersion | config_ver | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Horário de geração (time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
| Endereço de origem (src) | src | principal.ip | ||
| Endereço de destino (dst) | dst | target.ip | ||
| IP de origem NAT (natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
| IP de destino do NAT (natdst) | destinationTranslatedAddress | target.nat_ip | ||
| Regra (rule) | cs1 | security_result.rule_name | ||
| Usuário de origem (srcuser) | suser | principal.user.userid | ||
| Usuário de destino (dstuser) | duser | target.user.userid | ||
| Aplicativo | app | target.application | ||
| Sistema virtual (vsys) | cs3 | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Zona de origem (de) | cs4 | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Zona de destino (para) | cs5 | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Interface de entrada (inbound_if) | deviceInboundInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Interface de saída (outbound_if) | deviceOutboundInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Ação de registro (logset) | cs6 | conjunto de registros | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hora registrada (time_received) | PanOSTimeReceivedManagementPlane | - | ||
| ID da sessão (sessionid) | cn1 | network.session_id | ||
| Contagem de repetições (repeatcnt) | PanOSCountOfRepeats/RepeatCount | Repetição | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Porta de origem (sport) | spt | principal.port | ||
| Porta de destino (dport) | dpt | target.port | ||
| Porta de origem NAT (natsport) | sourceTranslatedPort | principal.nat_port | ||
| Porta de destino NAT (natdport) | destinationTranslatedPort | target.nat_port | ||
| Flags | flexString1 | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Protocolo IP (proto) | proto | network.ip_protocol | ||
| Ação | ato | security_result.action_details
security_result.action |
||
| Túnel (túnel) | PanOSTunnel | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| UUID da VM de origem (src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
| UUID da VM de destino (dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
| UUID da regra (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| Estágio para cliente para firewall (hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Estágio para firewall para servidor (hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Versão do TLS (tls_version) | PanOSTLSVersion | network.tls.version | ||
| Algoritmo de troca de chaves (tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Algoritmo de criptografia (tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Algoritmo de hash (tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome da política (policy_name) | PanOSPolicyName | policy_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Curva elíptica (ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
| Índice de erros (err_index) | PanOSErrorIndex | err_index | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Status da raiz (root_status) | PanOSRootStatus | root_status | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Status da corrente (chain_status) | PanOSChainStatus | chain_status | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tipo de proxy (proxy_type) | PanOSProxyType | proxy_type | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Número de série do certificado (cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
| Impressão digital do certificado | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
| Data de início do certificado (notbefore) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
| Data de término do certificado (não depois de) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
| Versão do certificado (cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
| Tamanho do certificado (cert_size) | PanOSCertificateSize | cert_size | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tamanho do nome comum (cn_len) | PanOSCommonNameLength | cn_len | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tamanho do nome comum do emissor (issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Comprimento do nome comum raiz (rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Comprimento do SNI (sni_len) | PanOSSNILength | sni_len | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Flags de certificado (cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome comum do assunto (CN, na sigla em inglês) | PanOSCommonName | cn | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome comum do emissor (issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
| Nome comum da raiz (root_cn) | PanOSRootCommonName | root_cn | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Indicação de nome do servidor
(sni) |
network.tls.client.server_name | |||
| Erro (error) | PanOSErrorMessage | erro | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do contêiner (container_id) | PanOSContainerID | container_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Namespace do pod (pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do POD (pod_name) | PanOSContainerName | pod_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de origem (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de destino (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Grupo de endereços dinâmico de origem (src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
| Grupo de endereços dinâmicos de destino (dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
| Carimbo de data/hora de alta resolução (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Categoria do dispositivo de origem (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de origem (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de origem (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor de dispositivo de origem (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de origem (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key e principal.labels.value |
||
| Versão do SO do dispositivo de origem (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| Nome do host de origem (src_host) | PanOSSourceDeviceHost | principal.hostname | ||
| Endereço MAC de origem (src_mac) | PanOSSourceDeviceMac | principal.mac | ||
| Categoria do dispositivo de destino (dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de destino (dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de destino (dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor de dispositivo de destino (dst_vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de destino (dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Versão do SO do dispositivo de destino (dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
| Nome do host de destino (dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
| Endereço MAC de destino (dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
| Número de sequência (seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
| Flags de ação (flags de ação) | PanOSActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do sistema virtual (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| Nome do dispositivo (device_name) | intermediary.hostname | |||
| ID do sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |||
| Subcategoria do aplicativo (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do aplicativo (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do app (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco de aplicativo (risk_of_app) | security_result.severity | |||
| Característica do aplicativo (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do aplicativo (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do aplicativo (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado do app sujeito a sanções (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
Túnel
A tabela a seguir lista os campos de registro do tipo de registro de túnel e os campos correspondentes do UDM.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (Header) | cat | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Tempo gerado (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Endereço de origem (src) | src | src | principal.ip | |
| Endereço de destino (dst) | dst | dst | target.ip | |
| IP de origem NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| IP de destino do NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Nome da regra (regra) | cs1 | RuleName | security_result.rule_name | |
| Usuário de origem (srcuser) | suser | SourceUser / usrName | principal.user.userid | |
| Usuário de destino (dstuser) | duser | DestinationUser | target.user.userid | |
| Aplicativo | app | Aplicativo | network.application_protocol | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de origem (de) | cs4 | SourceZone | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de destino (para) | cs5 | DestinationZone | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de entrada (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de saída (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão (sessionid) | cn1 | SessionID | network.session_id | |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (sport) | spt | srcPort | principal.port | |
| Porta de destino (dport) | DPT | dstPort | target.port | |
| Porta de origem NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| Porta de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| Flags | flexString1 | Sinalizações | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo IP (proto) | proto | proto | network.ip_protocol | |
| Ação | ato | ação | security_result.action_details
security_result.action |
|
| Gravidade (gravidade) | security_result.severity e security_result.severity_details | |||
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Local de origem (srcloc) | principal.location.country_or_region | |||
| Local de destino (dstloc) | target.location.country_or_region | |||
| Hierarquia do grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID do túnel (tunnelid) | PanOSTunnelID | TunnelID | código do túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Monitorar tag (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão pai (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| Horário de início do pai (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de túnel (tunnel) | cs2 | TunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Bytes | flexNumber1 | totalBytes | bytes | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Bytes enviados (bytes_sent) | em | srcBytes | network.sent_bytes | |
| Bytes recebidos (bytes_received) | out | dstBytes | network.received_bytes | |
| Pacotes | cn2 | totalPackets | pacotes | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Pacotes enviados (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Pacotes recebidos (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Encapsulamento máximo (max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo desconhecido (unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Verificação estrita (strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Fragmento de túnel (tunnel_fragment) | PanOSTunnelFragment | TunnelFragment | tunnel_fragment | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Sessões criadas (sessions_created) | cfp3 | SessionsCreated | sessions_created | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Sessões fechadas (sessions_closed) | cfp4 | SessionsClosed | sessions_closed | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Motivo do término da sessão (session_end_reason) | reason | SessionEndReason | security_result.summary | |
| Origem da ação (action_source) | cat | ActionSource | action_source | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Horário de início (início) | startTime | start | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tempo decorrido (elapsed) | cn3 | ElapsedTime | decorrido | network.session_duration.seconds |
| Regra de inspeção de túnel (tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = "Regra de inspeção de túnel: %{PanOSTunnelInspectionRule}" | ||
| IP do usuário remoto (remote_user_ip) | PanOSRmtUserIP | target.ip | ||
| ID do usuário remoto (remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| UUID da regra de segurança (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| ID do PCAP (pcap_id) | PanOSPcapID | pcap_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do grupo de usuários dinâmico (dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
| Lista dinâmica externa de origem (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de destino (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Carimbo de data/hora em alta resolução (carimbo de data/hora high_res) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Um diferenciador de fatia (nssai_sd) | nssai_sd | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Um tipo de serviço de fatia (nssai_sd) | nssai_sd1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID da sessão do PDU (pdu_session_id) | pdu_session_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Subcategoria do aplicativo (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do aplicativo (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do app (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco de aplicativo (risk_of_app) | risk_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Característica do aplicativo (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do aplicativo (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do aplicativo (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado do app sujeito a sanções (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
Autenticação
A tabela a seguir lista os campos de registro do tipo de registro de autenticação e os campos correspondentes do UDM.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (Header) | cat | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Tempo gerado (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| IP de origem (IP) | src | src | principal.ip | |
| User (user) | duser | usrName | target.user.userid | |
| Normalizar usuário (normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
| Objeto (objeto) | fname | ObjectName | objeto | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Política de autenticação (authpolicy) | cs4 | AuthPolicy | authpolicy | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Contagem repetida (repetição) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID de autenticação (authid) | cn2 | AuthenticationID | authid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Fornecedor | flexString2 | Fornecedor | fornecedor | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Perfil do servidor (serverprofile) | cs1 | ServerProfile | serverprofile | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Descrição (desc.) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
| Tipo de cliente (clienttype) | cs5 | ClientType | clienttype | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Tipo de evento (evento) | msg | msg | extensions.auth.auth_details | |
| Número do fator (factorno) | cn1 | FactorNumber | fatorno | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Número de sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID do sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |||
| Protocolo de autenticação (authproto) | authproto | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| UUID da regra (rule_uuid) | PanOSRuleUUID/RuleUUID | security_result.rule_id | ||
| Carimbo de data/hora de alta resolução (high_res _timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Categoria do dispositivo de origem (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de origem (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de origem (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor de dispositivo de origem (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de origem (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Versão do SO do dispositivo de origem (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| Nome do host de origem (src_host) | PanOSSourceHostname | principal.hostname | ||
| Endereço MAC de origem (src_mac) | PanOSSourceMac | principal.asset.mac | ||
| Região (region) | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
| User Agent (user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
| ID da sessão (sessionid) | PanOSTrafficSessionID | network.session_id |
URL
A tabela a seguir lista os campos de registro do tipo de registro de URL e os campos correspondentes do UDM.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Horário de recebimento (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (Header) | cat | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Horário de geração | metadata.event_timestamp | |||
| Endereço de origem (src) | src | src | principal.ip | |
| Endereço de destino (dst) | dst | dst | target.ip | |
| IP de origem NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| IP de destino do NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Regra (rule) | cs1 | RuleName | security_result.rule_name | |
| Usuário de origem (srcuser) | suser | SourceUser | principal.user.userid | |
| Usuário de destino (dstuser) | duser | DestinationUser | target.user.userid | |
| Aplicativo | app | Aplicativo | network.application_protocol | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de origem (de) | cs4 | SourceZone | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de destino (para) | cs5 | DestinationZone | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de entrada (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de saída (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Horário registrado | time_logged | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID da sessão (sessionid) | cn1 | SessionID | network.session_id | |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (sport) | spt | srcPort | principal.port | |
| Porta de destino (dport) | DPT | dstPort | target.port | |
| Porta de origem NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| Porta de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| Flags | flexString1 | Sinalizações | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo IP (proto) | proto | proto | network.ip_protocol | |
| Ação | ato | ação | security_result.action_details
security_result.action |
|
| URL/nome de arquivo (diversos) | Diversos | target.file.full_path
target.url |
||
| Nome da ameaça/conteúdo (threatid) | cat | ThreatID | security_result.threat_id | |
| Categoria | cs2 | URLCategory | categoria | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Gravidade | number-of-severity (Cabeçalho) | Severity | security_result.severity
security_result.severity_details |
|
| Direção (direction) | flexString2 | Direção | network.direction | |
| Número da sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| País de origem (srcloc) | SourceLocation | principal.location.country_or_region | ||
| País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
| contenttype (contenttype) | requestContext | ContentType | tipo de conteúdo | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| filedigest (filedigest) | FileDigest | sobre.file.sha1/md5/sha256 | ||
| nuvem (nuvem) | Nuvem | nuvem | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| url_idx (url_idx) | URLIndex | url_idx | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| user_agent (user_agent) | requestClientApplication | UserAgent | network.http.user_agent | |
| filetype (filetype) | about.file.mime_type | |||
| xff (xff) | PanOSXForwarderfor | identSrc | xff | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| referenciador | PanOSReferer | Referenciador | network.http.referral_url | |
| remetente | network.email.from | |||
| assunto (assunto) | Assunto | network.email.subject | ||
| destinatário (recipient) | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Hierarquia do DG, nível 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do DG no nível 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do DG, nível 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nível 4 da hierarquia do DG (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url (file_url) | about.url | |||
| UUID da VM de origem (src_uuid) | SrcUUID | principal.asset.asset_id | ||
| UUID da VM de destino (dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
| ID/IMSI do túnel (tunnelid) | PanOSTunnelID | TunnelID | código do túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Monitorar tag/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão pai (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| Horário de início da sessão mãe (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Túnel | PanOSTunnelType | TunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| contentver (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| flags_de_sinais (flags_de_sinais) | sig_flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID da associação do SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do protocolo de payload (ppid) | PanOSPPID | ppid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Cabeçalhos http (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista de categorias de URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| UUID da regra (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Conexão HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| dynusergroup_name (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Endereço XFF (xff_ip) | PanXFFIP | principal.ip | ||
| Categoria do dispositivo de origem (src_category) | PanSrcDeviceCat | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de origem (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de origem (src_model) | PanSrcDeviceModel | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor do dispositivo de origem (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de origem (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Versão do SO do dispositivo de origem (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| Nome do host de origem (src_host) | PanSrcHostname | src_host | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Endereço MAC de origem (src_mac) | PanSrcMac | principal.mac | ||
| Categoria do dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Perfil do dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Modelo do dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Fornecedor de dispositivo de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Família do SO do dispositivo de destino (dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key e target.labels.value |
||
| Versão do SO do dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Nome do host de destino (dst_host) | PanPODNamespace | target.hostname | ||
| Endereço Mac de destino (dst_mac) | PanDstMac | target.mac | ||
| ID do contêiner (container_id) | PanContainerName | container_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Namespace do pod (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do POD (pod_name) | PanPODName | pod_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa da origem (src_edl) | PanSrcEDL | src_edl | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista dinâmica externa de destino (dst_edl) | PanDstEDL | dst_edl | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do host (hostid) | PanGPHostID | hostid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Número de série (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| domain_edl (domain_edl) | PanDomainEDL | domain_edl | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Grupo de endereços dinâmico de origem (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| Grupo de endereços dinâmicos de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| parcial_hash (parcial_hash) | PanPartialHash | partial_hash | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Carimbo de data/hora em alta resolução (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Motivo | PanReasonFilteringAction | reason | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| justificativa (justificativa) | PanJustification | justificativa | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| nssai_sst (nssai_sst, na sigla em inglês) | PanASServiceType | nssai_sst | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Subcategoria do app (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do app (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do aplicativo (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco do app (risk_of_app) | risk_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Característica do app (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do app (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| App com túneis (tunneled_app) | tunneled_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do app (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado do app sancionado (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
Dados
A tabela a seguir lista os campos de registro do tipo de registro de dados e os campos correspondentes do UDM.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Horário de recebimento (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|
| Número de série (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| Tipo | type (Header) | cat | metadata.product_event_type | |
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Horário de geração | metadata.event_timestamp | |||
| Endereço de origem (src) | src | src | principal.ip | |
| Endereço de destino (dst) | dst | dst | target.ip | |
| IP de origem NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| IP de destino do NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Regra (rule) | cs1 | RuleName | security_result.rule_name | |
| Usuário de origem (srcuser) | suser | SourceUser | principal.user.userid | |
| Usuário de destino (dstuser) | duser | DestinationUser | target.user.userid | |
| Aplicativo | app | Aplicativo | network.application_protocol | |
| Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de origem (de) | cs4 | SourceZone | de | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Zona de destino (para) | cs5 | DestinationZone | a | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de entrada (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
| Interface de saída (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
| Ação de registro (logset) | cs6 | LogForwardingProfile | logset | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Horário registrado | time_logged | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID da sessão (sessionid) | cn1 | SessionID | network.session_id | |
| Contagem de repetições (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Porta de origem (sport) | spt | srcPort | principal.port | |
| Porta de destino (dport) | DPT | dstPort | target.port | |
| Porta de origem NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| Porta de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| Flags | flexString1 | Sinalizações | flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Protocolo IP (proto) | proto | proto | network.ip_protocol | |
| Ação | ato | ação | security_result.action_details
security_result.action |
|
| URL/nome de arquivo (diversos) | Diversos | target.file.full_path
target.url |
||
| Nome da ameaça/conteúdo (threatid) | cat | ThreatID | security_result.threat_id | |
| Categoria | cs2 | URLCategory | categoria | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Gravidade | number-of-severity (Cabeçalho) | Severity | security_result.severity
security_result.severity_details |
|
| Direção (direction) | flexString2 | Direção | network.direction | |
| Número da sequência (seqno) | externalId | sequência | metadata.product_log_id | |
| Flags de ação (flags de ação) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| País de origem (srcloc) | SourceLocation | principal.location.country_or_region | ||
| País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
| contenttype (tipo de conteúdo) | ContentType | tipo de conteúdo | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| filedigest (filedigest) | FileDigest | sobre.file.sha1/md5/sha256 | ||
| nuvem (nuvem) | Nuvem | nuvem | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| url_idx (url_idx) | URLIndex | url_idx | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| user_agent (user_agent) | network.http.user_agent | |||
| filetype (filetype) | about.file.mime_type | |||
| xff (xff) | xff | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| referenciador | network.http.referral_url | |||
| remetente | network.email.from | |||
| assunto (assunto) | Assunto | network.email.subject | ||
| destinatário (recipient) | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Hierarquia do DG, nível 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do DG no nível 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Hierarquia do DG, nível 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nível 4 da hierarquia do DG (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Nome do sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome do dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url (file_url) | about.url | |||
| UUID da VM de origem (src_uuid) | SrcUUID | principal.asset.asset_id | ||
| UUID da VM de destino (dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | RequestMethod | network.http.method | ||
| ID/IMSI do túnel (tunnelid) | PanOSTunnelID | TunnelID | código do túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Monitorar tag/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| ID da sessão pai (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| Horário de início da sessão mãe (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| Túnel | PanOSTunnelType | TunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| contentver (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
| flags_de_sinais (flags_de_sinais) | sig_flags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID da associação do SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do protocolo de payload (ppid) | PanOSPPID | ppid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Cabeçalhos http (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Lista de categorias de URL (url_category_list) | url_category_list | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| UUID da regra (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Conexão HTTP/2 (http2_connection) | http2_connection | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| dynusergroup_name (dynusergroup_name) | dynusergroup_name | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Endereço XFF (xff_ip) | principal.ip | |||
| Categoria do dispositivo de origem (src_category) | src_category | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Perfil do dispositivo de origem (src_profile) | src_profile | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Modelo do dispositivo de origem (src_model) | src_model | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Fornecedor de dispositivo de origem (src_vendor) | src_vendor | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Família do SO do dispositivo de origem (src_osfamily) | principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
|||
| Versão do SO do dispositivo de origem (src_osversion) | principal.asset.software.version | |||
| Nome do host de origem (src_host) | src_host | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Endereço MAC de origem (src_mac) | principal.mac | |||
| Categoria do dispositivo de destino (dst_category) | dst_category | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Perfil do dispositivo de destino (dst_profile) | dst_profile | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Modelo do dispositivo de destino (dst_model) | dst_model | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Fornecedor do dispositivo de destino (dst_vendor) | dst_vendor | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Família do SO do dispositivo de destino (dst_osfamily) | target.asset.platform_software.platform
target.labels.key e target.labels.value |
|||
| Versão do SO do dispositivo de destino (dst_osversion) | target.asset.software.version | |||
| Nome do host de destino (dst_host) | target.hostname | |||
| Endereço MAC de destino (dst_mac) | target.mac | |||
| ID do contêiner (container_id) | container_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Namespace do POD (pod_namespace) | pod_namespace | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nome do POD (pod_name) | pod_name | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Lista dinâmica externa de origem (src_edl) | src_edl | principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Lista dinâmica externa de destino (dst_edl) | dst_edl | target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value |
||
| ID do host (hostid) | hostid | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Número de série | principal.asset.hardware.serial_number | |||
| domínio_edl (domínio_edl) | domain_edl | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Grupo de endereços dinâmico de origem (src_dag) | principal.group.group_display_name | |||
| Grupo de endereços dinâmicos de destino (dst_dag) | target.group.group_display_name | |||
| partial_hash (partial_hash) | partial_hash | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Carimbo de data/hora de alta resolução (high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
|||
| Motivo (reason) | reason | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| justificação | justificativa | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| nssai_sst (nssai_sst) | nssai_sst | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Subcategoria do app (subcategory_of_app) | subcategory_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Categoria do app (category_of_app) | category_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Tecnologia do aplicativo (technology_of_app) | technology_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Risco do app (risk_of_app) | risk_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Característica do app (characteristic_of_app) | characteristic_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Contêiner do app (container_of_app) | container_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| App com túneis (tunneled_app) | tunneled_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| SaaS do app (is_saas_of_app) | is_saas_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Estado do app sancionado (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
GlobalProtect
A tabela a seguir lista os campos de registro do tipo de registro do GlobalProtect e os campos correspondentes do UDM.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Tempo de recebimento (receive_time) | rt | received_time | metadata.event_timestamp | |
| Número de série (serial) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
| Tipo | type (cabeçalho) | metadata.product_event_type | ||
| Threat/Content Type (subtype) | subtype (Header) | Subtipo | metadata.product_event_type | |
| Horário de geração (time_generated) | PanOSLogTimeStamp | generated_timestamp | metadata.event_timestamp | |
| Sistema virtual (vsys) | PanOSVirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| ID do evento (eventid) | PanOSEventID | event_id | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Estágio (cenário) | PanOSStage | etapa | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Método de autenticação (auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
| Tipo de túnel (tunnel_type) | PanOSTunnelType | túnel | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Usuário de origem (srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
| Região de origem (srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
| Nome da máquina (machinename) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
| IP público (public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
| IPv6 público (public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
| IP particular (private_ip) | PanOSPrivateIPv4 | principal.ip | ||
| IPv6 particular (private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
| ID do host (hostid) | PanOSHostID | hostid | principal.asset.asset_id | |
| Número de série (serialnumber) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
| Versão do cliente (client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| SO do cliente (client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
| Versão do SO do cliente (client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
| Contagem de repetições (repeatcnt) | PanOSCountOfRepeats | Repetição | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Motivo | PanOSQuarantineReason | security_result.summary | ||
| Erro (error) | PanOSConnectionError | erro | security_result.description | |
| Descrição (opaco) | PanOSDescription | security_result.description | ||
| Status | PanOSEventStatus | status | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Local (local) | PanOSGPGatewayLocation | target.location.country_or_region | ||
| Duração do login (login_duration) | PanOSLoginDuration | network.session_duration | ||
| Método de conexão (connect_method) | PanOSConnectionMethod | connect_method | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Código do erro (error_code) | PanOSConnectionErrorID | error_code | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Portal | PanOSPortal | portal | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Número de sequência (seqno) | PanOSSequenceNo | metadata.product_log_id | ||
| Flags de ação (flags de ação) | PanOSActionFlags | actionflags | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Carimbo de data/hora em alta resolução (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (se "Generate Time" estiver ausente) |
||
| Método de seleção de gateway (selection_type) | PanOSGatewaySelectionType | selection_type | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tempo de resposta do SSL (response_time) | PanOSSSLResponseTime | response_time | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Prioridade de gateway (prioridade) | PanOSGatewayPriority | prioridade | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Tentativas de gateway (Attempted_gateways) | PanOSAttemptedGateways | attempted_gateways | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Nome do gateway (gateway) | PanOSAttemptedGateways | gateway | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Hierarquia de grupos de dispositivos (dg_hier_level_1) | dg_hier_level_1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Hierarquia do grupo de dispositivos (dg_hier_level_2) | dg_hier_level_2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Hierarquia de grupos de dispositivos (dg_hier_level_3) | dg_hier_level_3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Hierarquia do grupo de dispositivos (dg_hier_level_4) | dg_hier_level_4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nome do sistema virtual (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| Nome do dispositivo (device_name) | target.hostname | |||
| ID do sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id |
Correlação
A tabela a seguir lista os campos de registro do tipo de registro Correlação e os campos de UDM correspondentes.
| Campo CSV | Campo "CEF" | Campo LEEF | Chave de rótulo das Operações de segurança do Google | Campo de UDM |
|---|---|---|---|---|
| Horário de geração (time_generated ou cef-formatted-time_generated) | startTime | generated_timestamp | metadata.event_timestamp | |
| Endereço de origem (src) | src | principal.ip | ||
| Usuário de origem (srcuser) | SourceUser / usrName | principal.user.userid | ||
| Sistema virtual (vsys) | VirtualSystem | vsys | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
|
| Categoria | security_result.category_details | |||
| Gravidade | Severity | security_result.severity e security_result.severity_details | ||
| Nível 1 da hierarquia do grupo de dispositivos | DeviceGroupHierarchyL1 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nível 2 da hierarquia do grupo de dispositivos | DeviceGroupHierarchyL2 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nível 3 da hierarquia do grupo de dispositivos | DeviceGroupHierarchyL3 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nível 4 da hierarquia do grupo de dispositivos | DeviceGroupHierarchyL4 | about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value |
||
| Nome do sistema virtual (vsys_name) | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
| Nome do dispositivo (device_name) | DeviceName | intermediary.hostname | ||
| ID do sistema virtual (vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | ||
| Nome do objeto (objectname) | ObjectName | target.resource.name | ||
| ID do objeto (object_id) | ObjectID | target.resource.product_object_id |
Referência de mapeamento de campo: tipos de registro para tipo de evento da UDM
A tabela a seguir lista os tipos de registro do firewall Palo Alto Networks e os tipos de evento do UDM correspondentes.
| Tipo de registro | Tipo de evento de UDM |
| Tráfego | NETWORK_CONNECTION |
| Ameaça | NETWORK_CONNECTION |
| Filtragem de URL | NETWORK_CONNECTION |
| WildFire | NETWORK_CONNECTION
Os registros de envios do WildFire são um subtipo do tipo de registro de ameaças e usam o mesmo formato de syslog. |
| Filtragem de dados | NETWORK_CONNECTION |
| Túnel | NETWORK_CONNECTION |
| Config | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
O valor do parâmetro "Command (cmd)" determina o mapeamento do tipo de evento do UDM. Se o valor do campo cmd for add ou clone, SETTING_CREATION será definido. Se o valor do campo cmd for "delete", SETTING_DELETION será definido. Se o valor do campo cmd for editar, mover, renomear, definir ou confirmar, SETTING_MODIFICATION está definida. Se o valor do campo cmd não contiver valores, SETTING_UNCATEGORIZED está definido. |
| Sistema |
Se o valor do subtipo for "dhcp", NETWORK_DHCP será definido. Se o valor do subtipo for "auth", USER_LOGIN será definido. Se o valor da descrição for "logged in", USER_LOGIN será definido. Se o valor da descrição for "logted", USER_LOGOUT será definido. Para outros valores do subtipo, GENERIC_EVENT é definido. |
| Correspondência HIP | NETWORK_CONNECTION |
| Tag IP | GENERIC_EVENT |
| User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
Se o valor do subtipo for "login", USER_LOGIN será definido. Se o valor do subtipo for "logout", USER_LOGOUT será definido. Se o subtipo não tiver nenhum valor, USER_UNCATEGORIZED será definido. |
| Descriptografia | NETWORK_CONNECTION |
| Autenticação | GENERIC_EVENT |