Palo Alto Networks-Firewalllogs erfassen
Übersicht
In diesem Dokument wird beschrieben, wie Sie Syslog und einen Chronicle-Forwarder konfigurieren, um Firewalllogs von Palo Alto Networks zu erfassen. In diesem Dokument wird auch erläutert, wie Firewall-Logfelder von Palo Alto Networks den Feldern von Chronicle Unified Data Model (UDM) entsprechen.
Eine Übersicht zur Datenaufnahme von Chronicle finden Sie unter Datenaufnahme in Chronicle.
Ein Aufnahmelabel identifiziert den Parser, der die Protokollrohdaten in ein strukturiertes UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel PAN_FIREWALL.
Hinweis
Sehen Sie sich die Bereitstellungsarchitektur an, um mehr über die Komponenten zu erfahren, die zum Erfassen von Palo Alto Networks-Firewalllogs bereitgestellt werden. Jede Kundenbereitstellung kann von dieser Darstellung abweichen und komplexer sein.
Das folgende Diagramm zeigt, wie Sie Syslog in einer Palo Alto Networks-Firewall konfigurieren und einen Chronicle-Forwarder auf einem Linux-Server installieren, um Logdaten an Chronicle weiterzuleiten. Der Parser unterstützt Logs, die in den folgenden Datenformaten geschrieben sind: kommagetrennte Werte (CSV), Common Event Format (CEF) und Log Event Extended Format (LEEF).
Prüfen Sie die vom Chronicle-Parser unterstützten Logformate und PAN-Versionen. In der folgenden Tabelle sind die Logformate und die entsprechenden PAN-OS-Versionen aufgeführt, die vom Chronicle-Parser unterstützt werden:
Logformat PAN-OS-Version CSV 10.1.3 CEF-Bericht 10 LEEFEN 9,1 Prüfen Sie die vom Chronicle-Parser unterstützten Firewall-Logtypen von Palo Alto Networks. Der Chronicle-Parser unterstützt die folgenden Firewall-Logtypen von Palo Alto Networks:
- Traffic
- Infos zu
- WildFire-Einreichungen
- Tunnelinspektion
- Konfiguration
- System
- HIP-Übereinstimmung
- IP-Tag
- User-ID
- Entschlüsselung
- Authentifizierung
- URL-Filter
- Datenfilterung
- GlobalProtect
- Ergebnisse in Beziehung setzen
Weitere Informationen zu den Logtypen von Palo Alto Networks-Firewall finden Sie unter PAN-OS-Logtypen.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
Bevor Sie den Gold-Parser für Palo Alto Networks verwenden, prüfen Sie die Änderungen an Feldzuordnungen zwischen dem Standard-Parser und dem Gold-Parser, die in diesem Dokument aufgeführt sind. Achten Sie im Rahmen der Migration darauf, dass die Regeln, Suchanfragen, Dashboards oder anderen Prozesse, die von den ursprünglichen Feldern abhängen, die aktualisierten Felder verwenden.
Im Standardparser wird das Logfeld „category“ beispielsweise dem UDM-Feld „security_result.description“ zugeordnet. Im Gold-Parser für die PAN-Firewall ist das Logfeld „category“ dem UDM-Feld „security_result.category_details“ zugeordnet. Wenn Sie zum Gold-Parser für die PAN-Firewall migrieren und in Ihren Regeln „category“ verwenden, müssen Sie die Regeln so ändern, dass das UDM-Feld „security_result.category_details“ des Gold-Parsers verwendet wird.
Syslog und den Chronicle-Forwarder konfigurieren
Führen Sie die folgenden Schritte aus, um Syslog und den Chronicle-Forwarder zu konfigurieren:
Konfigurieren Sie das Syslog-Serverprofil, um CSV-Logs zu überwachen. Weitere Informationen finden Sie unter Syslog-Serverprofil konfigurieren.
Geben Sie beim Konfigurieren des Syslog-Serverprofils als Standard-Logformat „Standard“ an.
Konfigurieren Sie zum Überwachen von CEF-Logs die Firewall von Palo Alto Networks so, dass CEF-Logs weitergeleitet werden. Weitere Informationen finden Sie im PDF-Leitfaden zur PAN-OS-CEF-Integration und im Abschnitt „Konfiguration der Palo Alto Networks NGFW zur Ausgabe von CEF-Ereignissen“.
Konfigurieren Sie das Syslog-Serverprofil, um LEEF-Logs zu überwachen. Weitere Informationen finden Sie unter Benutzerdefinierte Logweiterleitung im LEEF-Format.
Konfigurieren Sie den Chronicle-Forwarder, um Logs an Chronicle zu senden. Weitere Informationen finden Sie unter Weiterleitung unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Chronicle-Forwarder-Konfiguration:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Referenz für die Feldzuordnung: Felder der PAN-Firewalllogs und UDM-Feldern
In diesem Abschnitt wird erläutert, wie der Parser Palo Alto Networks-Firewall-Logfelder den Chronicle-UDM-Ereignisfeldern für jeden Logtyp zuordnet.
Der Chronicle-Labelschlüssel bezieht sich auf den Namen des Schlüssels, der dem UDM-Feld „Labels.key“ zugeordnet ist. Im Feld „Virtual System“ hat der Feldname beispielsweise „cs3“ im CEF-Format und „VirtualSystem“ im LEEF-Format. Das UDM-Feld „about.labels.key“ enthält den Wert „vsys“ und das UDM-Feld „about.labels.value“ den Wert dieses Felds.
Einige CEF- oder LEEF-Feldnamen haben keinen Namen, der den CSV-Feldnamen entspricht. Wenn Sie in diesem Fall Ihren eigenen Variablennamen im benutzerdefinierten Logformat im Syslog-Profil hinzufügen, ordnet der Parser ihn dem UDM-Feld nicht zu.
In den folgenden Abschnitten finden Sie die Zuordnungsreferenz der einzelnen Logtypen:
- System
- Konfiguration
- Bedrohung/Brände
- Traffic
- Nutzer-ID
- HIP-Übereinstimmung
- IP-Tag
- Entschlüsselung
- Tunnel
- Authentifizierung
- URL
- Daten
- GlobalProtect
- Korrelation
System
In der folgenden Tabelle sind die Logfelder des Systemlogtyps und die entsprechenden UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit oder CEF-formatierte Empfangszeit) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze | metadata.product_event_type ist auf "%{type} – %{subtype}" festgelegt. | |
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Subtyp | metadata.product_event_type ist auf "%{type} – %{subtype}" festgelegt. | |
| Generated Time (time_generated oder cef formatted-time_generate) | Metadaten.Ereignis_Zeitstempel | |||
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Ereignis-ID (eventid) | Katze | Ereignis-ID | Informationen zu Labels.Schlüssel/Wert | |
| Objekt (Objekt) | fname | Dateiname | Objekt | Informationen zu Labels.Schlüssel/Wert |
| Modul (Modul) | FlexString2 | Modul | module | Informationen zu Labels.Schlüssel/Wert |
| Schweregrad (Schweregrad) | $number-of-severity(Header) | Schweregrad | security_result.severity und security_result.severity_details | |
| Beschreibung (undurchsichtig) | msg | msg | Metadaten.Beschreibung | |
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Hochauflösender Zeitstempel (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
Konfiguration
In der folgenden Tabelle sind die Logfelder des Konfigurations-Logtyps und die zugehörigen UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit oder CEF-formatierte Empfangszeit) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze | Metadaten.Produktereignisereignis | |
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Metadaten.Produktereignisereignis | ||
| Generated Time (time_generated oder cef formatted-time_generate) | Metadaten.Ereignis_Zeitstempel | |||
| Host (Host) | Host | src | Hauptkonto./Hostname | |
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Befehl (cmd) | Akt | msg | CMD | Informationen zu Labels.Schlüssel/Wert |
| Administrator (Administrator) | Duser | Logo: usrName | Hauptkonto.Nutzer.Nutzer-ID | |
| Kunde (Kunde) | Zieldienstname | client | Hauptkonto | |
| Ergebnis (result) | Signatur-ID (Header)(Grund) | Ergebnis | Sicherheitsergebnis | |
| Konfigurationspfad (Pfad) | msg | Konfigurationspfad | Hauptkonto.Prozess.Befehlszeile | |
| Vor Änderungsdetail (before_change_detail) | CS1 | VorÄnderungsdetails | Vor_Änderung_Detail | target.resource.attribute.labels.key/value |
| Nach Änderungsdetail (after_change_detail) | CS2 | Nach Änderungsdetail | Detail nach Änderung | target.resource.attribute.labels.key/value |
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Gerätegruppe (dg_id) | PanOSFW-Gerätegruppe | dg_id | Hauptkonto.asset.attribute.labels.key/value | |
| Audit-Kommentar (Kommentar) | PanOSPolicyAuditKommentar | comment | Informationen zu Labels.Schlüssel/Wert |
Bedrohung/Wildfire
In der folgenden Tabelle sind die Logfelder des Threat/WildFire-Logtyps und die zugehörigen UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit oder CEF-formatierte Empfangszeit) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze | Metadaten.Produktereignisereignis | |
| Bedrohung/Inhaltstyp (Untertyp) | cat/subtype (Header) | Subtyp | Metadaten.Produktereignisereignis | |
| Zeitpunkt der Erstellung (time_generate oder cef-formatted-time_generate) | Metadaten.Ereignis_Zeitstempel | |||
| Quelladresse (src) | src | src | Hauptkonto.ip | |
| Zieladresse (dst) | dst | dst | Ziel-IP | |
| NAT-Quell-IP (natsrc) | Quellübersetzte Adresse | srcPostNAT (srcPostNAT) | Hauptkonto.nat_ip | |
| NAT-Ziel-IP-Adresse (ntdst) | DestinationTranslatedAddress | dstPostNAT | target_nat_ip | |
| Regelname (Regel) | CS1 | Regelname | security_result.rule_name | |
| Quellnutzer (srcuser) | Suser | Quellnutzer / usrName | Hauptkonto.Nutzer.Nutzer-ID | |
| Zielnutzer (dstuser) | Duser | Zielnutzer | target.user.userid | |
| Anwendung (App) | App | Anwendung | Zielanwendung | |
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Quellzone (von) | CS4 | Quellzone | von | Hauptkonto.labels.Schlüssel/Wert |
| Zielzone (nach) | CS5 | Zielzone | Bis | target.labels.key/value (Ziellabel.Schlüssel/Wert) |
| Inbound-Benutzeroberfläche (inbound_if) | deviceInboundInterface | Ingress-Oberfläche | Inbound_if | Hauptkonto.labels.Schlüssel/Wert |
| Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | Ausgehende Schnittstelle | Outbound_IF | target.labels.key/value (Ziellabel.Schlüssel/Wert) |
| Log-Aktion (Logset) | CS6 | LogWeiterleiten-Profil | Logset | Informationen zu Labels.Schlüssel/Wert |
| Sitzungs-ID (sessionid) | Cn1 | Sitzungs-ID | network.session_id (Netzwerk-ID) | |
| Anzahl der Wiederholungen (Repeatcnt) | CST | Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert |
| Quellport (Sport) | STP | srcPort | Hauptkonto | |
| Zielport (dport) | DDP | dstPort | Zielport | |
| NAT-Quellport (natsport) | QuellübersetzerPort | srcPostNAT-Port | Hauptkonto.nat_port | |
| NAT-Zielport (natdport) | ZielübersetzterPort | dstPostNAT-Port | Ziel-Port | |
| Flags (Flags) | FlexString1 | Flags | flags | Informationen zu Labels.Schlüssel/Wert |
| IP-Protokoll (Proto) | Proto | Proto | network.ip_protokoll | |
| Aktion (Aktion) | Akt | Aktion | Details zum Sicherheitsergebnis
Sicherheitsergebnis |
|
| URL/Dateiname (Sonstiges) | Request | Andere Beteiligte | target.file.full_path (wenn der Untertyp „file“, „virus“, „fire-virus“ oder „fire“ ist, wird das Feld „misc“ target.file.full_path zugeordnet.) target.url (wenn der Untertyp „url“ ist, wird das Feld „misc“ target.url und target.hostname zugeordnet) target.hostname (wenn der Untertyp "Spyware" oder "Sicherheitslücke" ist, wird das Feld „Misc“ den Dateien „target.file.full_path“ und „target.url“ zugeordnet) |
|
| Drohung/Inhaltsname (threatid) | Katze | Bedrohungs-ID | security_result.threat_name | |
| Kategorie (Kategorie) | CS2 | URL-Kategorie | Details zum Sicherheitsergebnis | |
| Schweregrad (Schweregrad) | Anzahl der Schweregrade(Header) | Schweregrad | security_result.severity und security_result.severity_details | |
| Richtung (Richtung) | FlexString2 | Richtung | network.direction | |
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Quellland (srcloc) | Quellort | Hauptkonto.Ort.Land_oder Region | ||
| Zielland (dstloc) | Zielort | target.location.country_or_region | ||
| Inhaltstyp (contenttype) | ContentType | Inhaltstyp | Informationen zu Labels.Schlüssel/Wert | |
| PCAP-ID (pcap_id) | Datei-ID | PCAP_ID (PCAP_ID) | pcap-ID | Informationen zu Labels.Schlüssel/Wert |
| Dateiübersicht (filedigest) | Datei-Hash | FileDigest | info.datei.sha1/md5/sha256 | |
| Cloud (Cloud) | Dateipfad | Cloud | cloud | Informationen zu Labels.Schlüssel/Wert |
| URL-Index (url_idx) | URL-Index | URL_IDX | Informationen zu Labels.Schlüssel/Wert | |
| User-Agent (user_agent) | network.http.user_agent. | |||
| Dateityp (Dateityp) | Dateityp | Dateityp | info.datei.mime_type | |
| X-Forwarded-For (xff) | Hauptkonto.ip | |||
| Verweis (Verweis) | network.http.Verweis_URL | |||
| Absender (Absender) | Suid | Absender | network.email.from | |
| Betreff (Betreff) | msg | Betreff | netzwerk.email.subject | |
| Empfänger (Empfänger) | duid | Empfänger | network.email.to | |
| Berichts-ID (reportid) | OldFileId (Alte Datei-ID) | Berichts-ID | Berichts-ID | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Quell-VM-UUID (src_uuid) | PanOSrc | SrcUUID | Hauptkonto.Nutzer.Produkt_Objekt-ID | |
| Ziel-VM-UUID (dst_uuid) | PanOSDstUUID ( PanOSDstUUID ) | dst-UUID | target.user.product_object_id [Zielnutzer_ID] | |
| HTTP-Methode (http_method) | Anfragemethode | network.http.method | ||
| Tunnel-ID/IMSI (tunnel_id/imsi) | PanOSTunnelID | Tunnel-ID | Tunnel-ID/imsi | Informationen zu Labels.Schlüssel/Wert |
| Tag/IMEI überwachen (monitortag/imei) | PanOSMonitor-Tag | Monitor-Tag | MonitorTag/imei | Informationen zu Labels.Schlüssel/Wert |
| ID der übergeordneten Sitzung (parent_session_id) | PanOSParentSessionID | ID der übergeordneten Sitzung | ID der übergeordneten Sitzung | Informationen zu Labels.Schlüssel/Wert |
| Beginn der übergeordneten Sitzung (parent_start_time) | Startzeit von PanOSParent | Übergeordnete Startzeit | Elternzeit | Informationen zu Labels.Schlüssel/Wert |
| Tunneltyp (Tunnel) | PanOSTunnelType | Tunneltyp | Tunnel | Informationen zu Labels.Schlüssel/Wert |
| Bedrohungskategorie (thr_category) | PanOSThreatCategory | Bedrohungskategorie | Kategorie | security_result.detection_fields.key/Wert |
| Inhaltsversion (contentver) | PanOSContentVer | ContentVer | Contentver | Informationen zu Labels.Schlüssel/Wert |
| SCTP-Verknüpfungs-ID (assoc_id) | PanOSAssocID | Assoc_ID | Informationen zu Labels.Schlüssel/Wert | |
| Nutzlastprotokoll-ID (ppid) | PanOS-PPID | ppid | Informationen zu Labels.Schlüssel/Wert | |
| HTTP-Header (http_headers) | PanOSHTTPHeader | http_Header | Informationen zu Labels.Schlüssel/Wert | |
| URL-Kategorieliste (url_category_list) | PanOSURLCatList (PaOS-URL-Liste) | URL-Kategorieliste | Informationen zu Labels.Schlüssel/Wert | |
| Regel-UUID (rule_uuid) | PanOSRuleUUID | Sicherheits_Ergebnis.Regel-ID | ||
| HTTP/2-Verbindung (http2_connection) | PanOSHTTP2Con | http2_Verbindung | Informationen zu Labels.Schlüssel/Wert | |
| Name der dynamischen Nutzergruppe (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name (dynusergroup_name) | Hauptkonto.labels.Schlüssel/Wert | |
| XFF-Adresse (xff_ip) | Panxffip | Hauptkonto.ip | ||
| Quellgerätekategorie (src_category) | PanSrcDeviceCat | src_category [Kategorie] | Hauptkonto.labels.Schlüssel/Wert | |
| Profil des Quellgeräts (src_profile) | Schwenkgerät | src_profile (Profil) | Hauptkonto.labels.Schlüssel/Wert | |
| Quellgerätemodell (src_model) | PanSrcDeviceModel | Modell | Hauptkonto.labels.Schlüssel/Wert | |
| Quellgeräteanbieter (src_vendor) | PanSrcDeviceVendor | src_vendor | Hauptkonto.labels.Schlüssel/Wert | |
| Betriebssystemfamilie des Quellgeräts (src_osfamily) | PanSrcDeviceOS | src_osfamily | Principal.Asset.Platform_Software.Platform
Hauptkonto.labels.Schlüssel/Wert |
|
| Betriebssystemversion des Quellgeräts (src_osversion) | PanSrcDeviceOSv | Hauptkonto.asset.software.version | ||
| Hostname der Quelle (src_host) | PanSrcHostname | Hauptkonto.hostname | ||
| Quell-MAC-Adresse (src_mac) | Schwenk-Mac | Hauptkonto.mac | ||
| Zielgerätekategorie (dst_category) | PanDstDeviceCat | dst_kategorie | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgeräteprofil (dst_profile) | PanDstDeviceProf | dst_profil | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgerätemodell (dst_model) | PanDstDeviceModell | dst_Modell | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgeräteanbieter (dst_vendor) | PanDstDeviceAnbieter | dst_anbieter | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Betriebssystem des Zielgeräts (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Betriebssystemversion des Zielgeräts (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Zielhostname (dst_host) | PanDstHostname | target.hostname | ||
| Ziel-MAC-Adresse (dst_mac) | PanDstMac | target.mac | ||
| Container-ID (container_id) | PanContainerName | Container-ID | Informationen zu Labels.Schlüssel/Wert | |
| POD-Namespace (pod_namespace) | PanPODNamespace | pod_namespace | Informationen zu Labels.Schlüssel/Wert | |
| POD-Name (pod_name) | PanPOD-Name | pod_name | Informationen zu Labels.Schlüssel/Wert | |
| Externe dynamische Liste der Quelle (src_edl) | PanSrcEDL | src_edl | Informationen zu Labels.Schlüssel/Wert | |
| Externe dynamische Liste des Ziels (dst_edl) | PanDstEDL | DST | Informationen zu Labels.Schlüssel/Wert | |
| Host-ID (Host-ID) | PanGPHost-ID | Host-ID | Informationen zu Labels.Schlüssel/Wert | |
| Seriennummer des Nutzergeräts (Seriennummer) | PanEPSerie | Hauptkonto.asset.hardware.serial_number | ||
| Domain-EDL (domain_edl) | PanDomainEDL | domain_edl | Informationen zu Labels.Schlüssel/Wert | |
| Dynamische Quelladressegruppe (src_dag) | Logo: PanSrcDAG | Hauptkontogruppe.gruppen_Anzeigename | ||
| Dynamische Zieladresse (dst_dag) | DAG-DAG | target.group.group_display_name | ||
| Teilweiser Hash (teilweiser Hash) | PanPartialHash | Teil-Hash | Informationen zu Labels.Schlüssel/Wert | |
| Hochauflösender Zeitstempel (hochauflösender Zeitstempel) | PanTimeHighRes | Hochauflösender Zeitstempel | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Grund (Grund) | Aktion für Grundfilter | reason | Informationen zu Labels.Schlüssel/Wert | |
| Begründung (Begründung) | PanJustification | Begründung | Informationen zu Labels.Schlüssel/Wert | |
| Ein Segmenttyp (nssai_sst) | PanASServiceTyp | NSSSA | Informationen zu Labels.Schlüssel/Wert | |
| Unterkategorie der Anwendung (unterkategorie_von_app) | Unterkategorie_App | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungskategorie (category_of_app) | App-Kategorie | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungstechnologie (technology_of_app) | app_technologie | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungsrisiko (Risiko_der_App) | Risiko_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungsmerkmal (characteristic_of_app) | charakteristische_app_ | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungscontainer (container_of_app) | Container_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| SaaS für Anwendungen (is_saas_of_app) | ist_saas_von_app | Informationen zu Labels.Schlüssel/Wert | ||
| Von der Anwendung sanktionierter Zustand (sanctioned_state_of_app) | Sanktionszustand_der_App | Informationen zu Labels.Schlüssel/Wert |
Traffic
In der folgenden Tabelle sind die Logfelder des Traffic-Logtyps und die zugehörigen UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit oder CEF-formatierte Empfangszeit) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze/Typ | Metadaten.Produktereignisereignis | |
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Subtyp | Metadaten.Produktereignisereignis | |
| Generated Time (time_generated oder cef formatted-time_generate) | Starten | Metadaten.Ereignis_Zeitstempel | ||
| Quelladresse (src) | src | src | Hauptkonto.ip | |
| Zieladresse (dst) | dst | dst | Ziel-IP | |
| NAT-Quell-IP (natsrc) | Quellübersetzte Adresse | srcPostNAT (srcPostNAT) | Hauptkonto.nat_ip | |
| NAT-Ziel-IP-Adresse (ntdst) | DestinationTranslatedAddress | dstPostNAT | target_nat_ip | |
| Regelname (Regel) | CS1 | Regelname | security_result.rule_name | |
| Quellnutzer (srcuser) | Suser | Quellnutzer | Hauptkonto.Nutzer.Nutzer-ID | |
| Zielnutzer (dstuser) | Duser | Zielnutzer | target.user.userid | |
| Anwendung (App) | App | Anwendung | Zielanwendung | |
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Quellzone (von) | CS4 | Quellzone | von | Hauptkonto.labels.Schlüssel/Wert |
| Zielzone (nach) | CS5 | Zielzone | Bis | target.labels.key/value (Ziellabel.Schlüssel/Wert) |
| Inbound-Benutzeroberfläche (inbound_if) | deviceInboundInterface | Ingress-Oberfläche | Inbound_if | Hauptkonto.labels.Schlüssel/Wert |
| Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | Ausgehende Schnittstelle | Outbound_IF | target.labels.key/value (Ziellabel.Schlüssel/Wert) |
| Log-Aktion (Logset) | CS6 | LogWeiterleiten-Profil | Logset | Informationen zu Labels.Schlüssel/Wert |
| Sitzungs-ID (sessionid) | Cn1 | Sitzungs-ID | network.session_id (Netzwerk-ID) | |
| Anzahl der Wiederholungen (Repeatcnt) | CST | Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert |
| Quellport (Sport) | STP | srcPort | Hauptkonto | |
| Zielport (dport) | DDP | dstPort | Zielport | |
| NAT-Quellport (natsport) | QuellübersetzerPort | srcPostNAT-Port | Hauptkonto.nat_port | |
| NAT-Zielport (natdport) | ZielübersetzterPort | dstPostNAT-Port | Ziel-Port | |
| Flags (Flags) | FlexString1 | Flags | flags | Informationen zu Labels.Schlüssel/Wert |
| IP-Protokoll (Proto) | Proto | Proto | network.ip_protokoll | |
| Aktion (Aktion) | Akt | Aktion | Details zum Sicherheitsergebnis
Sicherheitsergebnis |
|
| Byte (Byte) | FlexNumber1 | Bytes insgesamt | Byte | Informationen zu Labels.Schlüssel/Wert |
| Gesendete Bytes (bytes_sent) | in | srcByte | network.Receivedd_Byte | |
| Empfangene Byte (Bytes Received) | out | dstByte | network.sent_bytes | |
| Pakete (Pakete) | Cn2 | Gesamtzahl der Pakete | Pakete | Informationen zu Labels.Schlüssel/Wert |
| Beginn (Start) | Startzeit | Starten | Informationen zu Labels.Schlüssel/Wert | |
| Verstrichene Zeit (verstrichen) | Cn3 | Verstrichene Zeit | verstrichen | Informationen zu Labels.Schlüssel/Wert |
| Kategorie (Kategorie) | CS2 | URL-Kategorie | security_result.category / security_result.category_details | |
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Quellland (srcloc) | Quellort | Hauptkonto.Ort.Land_oder Region | ||
| Zielland (dstloc) | Zielort | target.location.country_or_region | ||
| Gesendete Pakete (pkts_sent) | PanOSPacketsGesendet | src-Pakete | Pkts_sent | Informationen zu Labels.Schlüssel/Wert |
| Erhaltene Pakete (pkts_received) | PanOS-Pakete erhalten | dst-Pakete | Pkts_Received | Informationen zu Labels.Schlüssel/Wert |
| Grund für das Ende der Sitzung (session_end_reason) | reason | Sitzung – Grund | Sicherheitsergebnis | |
| Gerätegruppenhierarchie1 (dg_hier_level_1 bis dg_hier_level_4) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie2 (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie3 (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Aktionsquelle (action_source) | Katze | Aktionsquelle | Aktion_Quelle | Informationen zu Labels.Schlüssel/Wert |
| Quell-VM-UUID (src_uuid) | PanOSrc | SrcUUID | Hauptkonto.asset.product_object_id | |
| Ziel-VM-UUID (dst_uuid) | PanOSDstUUID ( PanOSDstUUID ) | dst-UUID | Ziel-Asset.Produkt_ID | |
| Tunnel-ID/IMSI (tunnelid/imsi) | PanOSTunnelID | Tunnel-ID | Tunnel-ID/Imsi | Informationen zu Labels.Schlüssel/Wert |
| Tag/IMEI überwachen (monitortag/imei) | PanOSMonitor-Tag | Monitor-Tag | MonitorTag/imei | Informationen zu Labels.Schlüssel/Wert |
| ID der übergeordneten Sitzung (parent_session_id) | PanOSParentSessionID | ID der übergeordneten Sitzung | ID der übergeordneten Sitzung | Informationen zu Labels.Schlüssel/Wert |
| Startzeit des übergeordneten Elements (parent_start_time) | Startzeit von PanOSParent | Übergeordnete Startzeit | Elternzeit | Informationen zu Labels.Schlüssel/Wert |
| Tunneltyp (Tunnel) | PanOSTunnelType | Tunneltyp | Tunnel | Informationen zu Labels.Schlüssel/Wert |
| SCTP-Verknüpfungs-ID (assoc_id) | PanOSSCTPAssocID | Assoc_ID | Informationen zu Labels.Schlüssel/Wert | |
| SCTP-Chunks (Blöcke) | PanOSSCTPChunks | Blöcke | Informationen zu Labels.Schlüssel/Wert | |
| SCTP- Chunks gesendet (Chunks_sent) | PanOSSCTPChunkSent | Blöcke gesendet | Informationen zu Labels.Schlüssel/Wert | |
| Über SCTP empfangene Chunks (stückchen_empfangen) | PanOSSCTPChunksRcv | Blöcke erhalten | Informationen zu Labels.Schlüssel/Wert | |
| Regel-UUID (rule_uuid) | PanOSRuleUUID | Sicherheits_Ergebnis.Regel-ID | ||
| HTTP/2-Verbindung (http2_connection) | PanOSHTTP2Con | http2_Verbindung | Informationen zu Labels.Schlüssel/Wert | |
| Anzahl der App-Klappen (link_change_count) | PanLink-Änderung | Linkanzahl ändern | Informationen zu Labels.Schlüssel/Wert | |
| Richtlinien-ID (policy_id) | PanPolicyID | Richtlinien-ID | Informationen zu Labels.Schlüssel/Wert | |
| Linkschalter (link_switches) | PanLinkDetail | Link-Schalter | Informationen zu Labels.Schlüssel/Wert | |
| SD-WAN-Cluster (sdwan_cluster) | PanSDWAN-Cluster | SDWW-Cluster | Informationen zu Labels.Schlüssel/Wert | |
| SD-WAN-Gerätetyp (sdwan_device_type) | PanSDWAN-Gerät | sdwan_device_type | Informationen zu Labels.Schlüssel/Wert | |
| SD-WAN-Clustertyp (sdwan_cluster_type) | PanSDWANClustype | SDWW-Clustertyp | Informationen zu Labels.Schlüssel/Wert | |
| SD-WAN-Website (sdwan_site) | PanSDWAN-Website | SDWW_Site | Informationen zu Labels.Schlüssel/Wert | |
| Name der dynamischen Nutzergruppe (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name (dynusergroup_name) | Informationen zu Labels.Schlüssel/Wert | |
| XFF-Adresse (xff_ip) | Panxffip | Hauptkonto.ip | ||
| Quellgerätekategorie (src_category) | PanSrcDeviceCat | src_category [Kategorie] | Hauptkonto.labels.Schlüssel/Wert | |
| Profil des Quellgeräts (src_profile) | Schwenkgerät | src_profile (Profil) | Hauptkonto.labels.Schlüssel/Wert | |
| Quellgerätemodell (src_model) | PanSrcDeviceModel | Modell | Hauptkonto.labels.Schlüssel/Wert | |
| Quellgeräteanbieter (src_vendor) | PanSrcDeviceVendor | src_vendor | Hauptkonto.labels.Schlüssel/Wert | |
| Betriebssystemfamilie des Quellgeräts (src_osfamily) | PanSrcDeviceOS | Principal.Asset.Platform_Software.Platform
Hauptkonto.labels.Schlüssel/Wert |
||
| Betriebssystemversion des Quellgeräts (src_osversion) | PanSrcDeviceOSv | Hauptkonto.asset.software.version | ||
| Hostname der Quelle (src_host) | PanSrcHostname | Hauptkonto.hostname | ||
| Quell-MAC-Adresse (src_mac) | Schwenk-Mac | Hauptkonto.mac | ||
| Zielgerätekategorie (dst_category) | PanDstDeviceCat | dst_kategorie | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgeräteprofil (dst_profile) | PanDstDeviceProf | dst_profil | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgerätemodell (dst_model) | PanDstDeviceModell | dst_Modell | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgeräteanbieter (dst_vendor) | PanDstDeviceAnbieter | dst_anbieter | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Betriebssystem des Zielgeräts (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Betriebssystemversion des Zielgeräts (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Zielhostname (dst_host) | PanDstHostname | target.hostname | ||
| Ziel-MAC-Adresse (dst_mac) | PanDstMac | target.mac | ||
| Container-ID (container_id) | PanContainerName | Container-ID | Informationen zu Labels.Schlüssel/Wert | |
| POD-Namespace (pod_namespace) | PanPODNamespace | pod_namespace | Informationen zu Labels.Schlüssel/Wert | |
| POD-Name (pod_name) | PanPOD-Name | pod_name | Informationen zu Labels.Schlüssel/Wert | |
| Externe dynamische Liste der Quelle (src_edl) | PanSrcEDL | src_edl | Hauptkonto.labels.Schlüssel/Wert | |
| Externe dynamische Liste des Ziels (dst_edl) | PanDstEDL | DST | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Host-ID (Host-ID) | PanGPHost-ID | Host-ID | Informationen zu Labels.Schlüssel/Wert | |
| Seriennummer des Nutzergeräts (Seriennummer) | PanEPSerie | Hauptkonto.asset.hardware.serial_number | ||
| Dynamische Quelladressegruppe (src_dag) | Logo: PanSrcDAG | Hauptkontogruppe.gruppen_Anzeigename | ||
| Dynamische Zieladresse (dst_dag) | DAG-DAG | target.group.group_display_name | ||
| Sitzungsinhaber (session_owner) | PanHASessionInhaber | Sitzungseigentümer | Informationen zu Labels.Schlüssel/Wert | |
| Hochauflösender Zeitstempel (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
||
| Ein Segmenttyp (nsdsai_sst) | PanASServiceTyp | NSSDAI_SST | Informationen zu Labels.Schlüssel/Wert | |
| Ein Slice-Differenzator (nsdsai_sd) | Logo: PanASServiceDiff | NSDS | Informationen zu Labels.Schlüssel/Wert | |
| Unterkategorie der Anwendung (unterkategorie_von_app) | Unterkategorie_App | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungskategorie (category_of_app) | App-Kategorie | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungstechnologie (technology_of_app) | app_technologie | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungsrisiko (Risiko_der_App) | security_result.severity | |||
| Anwendungsmerkmal (characteristic_of_app) | charakteristische_app_ | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungscontainer (container_of_app) | Container_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| SaaS für Anwendungen (is_saas_of_app) | ist_saas_von_app | Informationen zu Labels.Schlüssel/Wert | ||
| Von der Anwendung sanktionierter Zustand (sanctioned_state_of_app) | Sanktionszustand_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| Unterkategorie der Anwendung (unterkategorie_von_app) | Unterkategorie_App_1 | Informationen zu Labels.Schlüssel/Wert |
User-ID
In der folgenden Tabelle sind die Logfelder des User-ID-Logtyps und die zugehörigen UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit oder CEF-formatierte Empfangszeit) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze | Metadaten.Produktereignisereignis | |
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Subtyp | Metadaten.Produktereignisereignis | |
| Generated Time (time_generated oder cef formatted-time_generate) | Metadaten.Ereignis_Zeitstempel | |||
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Quell-IP (IP) | src | src | Hauptkonto.ip | |
| Nutzer (Nutzer) | Duser | Logo: usrName | target.user.userid
target.administrative_domain target.nutzer.email_adressen |
|
| Name der Datenquelle (datasourcename) | CS4 | Name der Datenquelle | Datenquellenname | Hauptkonto.labels.Schlüssel/Wert |
| Ereignis-ID (eventid) | Ereignis-ID | Ereignis-ID | Informationen zu Labels.Schlüssel/Wert | |
| Anzahl der Wiederholungen (Repeatcnt) | CST | Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert |
| Grenzwert für Zeitüberschreitung (Zeitüberschreitung) | Cn3 | Zeitlimit | timeout | Informationen zu Labels.Schlüssel/Wert |
| Quellport (Beginport) | STP | srcPort | Hauptkonto | |
| Zielport (Endport) | DDP | dstPort | Zielport | |
| Datenquelle (Datenquelle) | CS5 | DataSource | Datenquelle | Hauptkonto.labels.Schlüssel/Wert |
| Typ der Datenquelle (datasourcetype) | CS6 | DataSourceType (Datenquellentyp) | Datenquellentyp | Hauptkonto.labels.Schlüssel/Wert |
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_1) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Virtuelle System-ID (vsys_id) | Cn2 | Virtuelle System-ID | Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id | |
| Faktortyp (Faktortyp) | CS1 | Faktortyp | Faktortyp | Informationen zu Labels.Schlüssel/Wert |
| Fertigstellungszeit (Faktorabschlüsse) | end | Faktorabschlüsse | Faktor für Fertigstellung | Informationen zu Labels.Schlüssel/Wert |
| Faktornummer (Faktor) | Cn1 | Faktornummer | Faktor | Informationen zu Labels.Schlüssel/Wert |
| Nutzergruppen-Flags (ugflags) | PanOSUG-Flags | ugflags | Informationen zu Labels.Schlüssel/Wert | |
| Nutzer nach Quelle (userbysource) | PanOSNutzerByQuelle | Hauptkonto.Nutzer.Nutzer-ID
Hauptkonto.administrative_Domain Hauptkonto.nutzer.email_adressen |
||
| Hochauflösender Zeitstempel (hochauflösender Zeitstempel) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
HIP-Übereinstimmung
In der folgenden Tabelle sind die Logfelder des HIP-Match-Logtyps und die zugehörigen UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit oder CEF-formatierte Empfangszeit) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze | Metadaten.Produktereignisereignis | |
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Subtyp | ||
| Generated Time (time_generated oder cef formatted-time_generate) | Starten | Startzeit | Metadaten.Ereignis_Zeitstempel | |
| Quellnutzer (srcuser) | Suser | Logo: usrName | Hauptkonto.Nutzer.Nutzer-ID | |
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Computername (machinename) | Host | identHostName | Hauptkonto.hostname | |
| Betriebssystem (os) | CS2 | Betriebssystem | Principal.Asset.Platform_Software.Platform | |
| Quelladresse (src) | src | identsrc | Hauptkonto.ip | |
| HIP (Übereinstimmungsname) | Katze | HIP | Übereinstimmungsname | Informationen zu Labels.Schlüssel/Wert |
| Anzahl der Wiederholungen (Repeatcnt) | CST | Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert |
| HIP-Typ (Fluentd) | ID der Geräteereignisklasse (Header) | HIP-Typ | AUTOMATISIEREN | |
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_1) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Virtuelle System-ID (vsys_id) | Cn2 | Virtuelle System-ID | Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id | |
| IPv6-Systemadresse (srcipv6) | C6a2 | srcipv6 | Hauptkonto.asset.ip | |
| Host-ID (Host-ID) | PanOSHost-ID | Hauptkonto.asset.product_object_id | ||
| Seriennummer des Nutzergeräts (Seriennummer) | PanOSEndpointSerialNumber (Seriennummer des PanOSEndpoint) | Hauptkonto.asset.hardware.serial_number | ||
| MAC-Adresse des Geräts (Mac) | PanOSEndpointMac | Hauptkonto.asset.mac | ||
| Hochauflösender Zeitstempel (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
IP-Tag
In der folgenden Tabelle sind die Logfelder des IP-Tag-Logtyps und die zugehörigen UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit oder CEF-formatierte Empfangszeit) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze | Metadaten.Produktereignisereignis | |
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Subtyp | Metadaten.Produktereignisereignis | |
| Generated Time (time_generated oder cef formatted-time_generate) | Generierungszeit | Metadaten.Ereignis_Zeitstempel | ||
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Quell-IP (IP) | src | src | Hauptkonto.ip | |
| Tag-Name (tag_name) | PanOSTag-Name | Tag-Name | Tag-Name | Hauptkonto.labels.Schlüssel/Wert |
| Ereignis-ID (event_id) | PanOSEreignis-ID | Ereignis-ID | Ereignis-ID | Informationen zu Labels.Schlüssel/Wert |
| Anzahl der Wiederholungen (Repeatcnt) | CST | Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert |
| Zeitüberschreitung (Zeitüberschreitung) | PanOSTimeout | Zeitlimit | timeout | Informationen zu Labels.Schlüssel/Wert |
| Name der Datenquelle (datasourcename) | PanOSDataSourceName | Name der Datenquelle | Datenquellenname | Hauptkonto.labels.Schlüssel/Wert |
| Typ der Datenquelle (datasource_type) | PanOSDataSourceType | DataSource | Datenquellentyp | Hauptkonto.labels.Schlüssel/Wert |
| Datenquellenuntertyp (datasource_subtype) | PanOSDataSourceSubTyp | DataSourceType (Datenquellentyp) | Untertyp der Datenquelle | Hauptkonto.labels.Schlüssel/Wert |
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_1) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Virtuelle System-ID (vsys_id) | Cn2 | Virtuelle System-ID | Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id | |
| Hochauflösender Zeitstempel (hochauflösender Zeitstempel) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
Entschlüsselung
In der folgenden Tabelle sind die Logfelder des Entschlüsselungslogtyps und die entsprechenden UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit oder CEF-formatierte Empfangszeit) | RT | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
||
| Seriennummer (Seriennummer) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
| Typ (Typ) | Typ (Header) | Metadaten.Produktereignisereignis | ||
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Metadaten.Produktereignisereignis | ||
| Konfigurationsversion (config_ver) | PanOSConfigVersion | config_ver | Informationen zu Labels.Schlüssel/Wert | |
| Zeitpunkt der Erstellung (time_generate) | PanOSLogTimeStamp | Metadaten.Ereignis_Zeitstempel | ||
| Quelladresse (src) | src | Hauptkonto.ip | ||
| Zieladresse (dst) | dst | Ziel-IP | ||
| NAT-Quell-IP (natsrc) | Quellübersetzte Adresse | Principa.nat_ip | ||
| NAT-Ziel-IP-Adresse (ntdst) | DestinationTranslatedAddress | target_nat_ip | ||
| Regel (Regel) | CS1 | security_result.rule_name | ||
| Quellnutzer (srcuser) | Suser | Hauptkonto.Nutzer.Nutzer-ID | ||
| Zielnutzer (dstuser) | Duser | target.user.userid | ||
| Anwendung (App) | App | Zielanwendung | ||
| Virtuelles System (vsys) | CS3 | Vsys | Informationen zu Labels.Schlüssel/Wert | |
| Quellzone (von) | CS4 | von | Hauptkonto.labels.Schlüssel/Wert | |
| Zielzone (nach) | CS5 | Bis | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Inbound-Benutzeroberfläche (inbound_if) | deviceInboundInterface | Inbound_if | Hauptkonto.labels.Schlüssel/Wert | |
| Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | Outbound_IF | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Log-Aktion (Logset) | CS6 | Logset | Informationen zu Labels.Schlüssel/Wert | |
| Protokollierte Zeit (time_Received) | PanOSTimeReceivedManagementPlane | - | ||
| Sitzungs-ID (sessionid) | Cn1 | network.session_id (Netzwerk-ID) | ||
| Anzahl der Wiederholungen (Repeatcnt) | Anzahl der Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert | |
| Quellport (Sport) | STP | Hauptkonto | ||
| Zielport (dport) | DDP | Zielport | ||
| NAT-Quellport (natsport) | QuellübersetzerPort | Hauptkonto.nat_port | ||
| NAT-Zielport (natdport) | ZielübersetzterPort | Ziel-Port | ||
| Flags (Flags) | FlexString1 | flags | Informationen zu Labels.Schlüssel/Wert | |
| IP-Protokoll (Proto) | Proto | network.ip_protokoll | ||
| Aktion (Aktion) | Akt | Details zum Sicherheitsergebnis
Sicherheitsergebnis |
||
| Tunnel (Tunnel) | PanOSTunnel | Tunnel | Informationen zu Labels.Schlüssel/Wert | |
| Quell-VM-UUID (src_uuid) | PanOSSourceUUID | Hauptkonto.asset.asset_id | ||
| Ziel-VM-UUID (dst_uuid) | PanOSDestinationUUID | Ziel-Asset.Asset-ID | ||
| UUID für Regel (rule_uuid) | PanOSRuleUUID | Sicherheits_Ergebnis.Regel-ID | ||
| Phase für Client-zu-Firewall (hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | Informationen zu Labels.Schlüssel/Wert | |
| Phase für Firewall-zu-Server-Verbindung (hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2 | Informationen zu Labels.Schlüssel/Wert | |
| TLS-Version (tls_version) | PanOSTLSVersion | network.tls.version | ||
| Key Exchange-Algorithmus (tls_keyxchg) | PanOSTLSKeyExchange | tls_schlüsselxch | Informationen zu Labels.Schlüssel/Wert | |
| Verschlüsselungsalgorithmus (tls_enc) | PanOSTLSVerschlüsselungsalgorithmus | tls_de | Informationen zu Labels.Schlüssel/Wert | |
| Hash-Algorithmus (tls_auth) | PanOSTLSAuth | tl_auth | Informationen zu Labels.Schlüssel/Wert | |
| Richtlinienname (policy_name) | PanOSPolicyName | Richtlinienname | Informationen zu Labels.Schlüssel/Wert | |
| Elliptische Kurve (ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
| Fehlerindex (err_index) | PanOSErrorIndex | Fehlerindex | Informationen zu Labels.Schlüssel/Wert | |
| Root-Status (root_status) | PanOSRoot-Status | Stammstatus | Informationen zu Labels.Schlüssel/Wert | |
| Kettenstatus (chain_status) | PanOSChain-Status | Kettenstatus | Informationen zu Labels.Schlüssel/Wert | |
| Proxy-Typ (proxy_type) | PanOSProxyType | Proxytyp | Informationen zu Labels.Schlüssel/Wert | |
| Seriennummer des Zertifikats (cert_serial) | PanOSCertificateSerie | network.tls.server.certificate.serial | ||
| Zertifikatfingerabdruck | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
| Startdatum des Zertifikats (nicht vorher) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
| Enddatum des Zertifikats (nicht später) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
| Zertifikatversion (cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version. | ||
| Zertifikatsgröße (cert_size) | PanOSCertificateSize | Zertifikatgröße | Informationen zu Labels.Schlüssel/Wert | |
| Allgemeine Namenslänge (cn_len) | PanOSCommonNameLength | cn_len | Informationen zu Labels.Schlüssel/Wert | |
| Gemeinsame Länge des Ausstellers (issuer_len) | PanOSIssuerNameLänge | Aussteller_Len | Informationen zu Labels.Schlüssel/Wert | |
| Länge des Stammnamens (rootcn_len) | PanOSRootCNLänge | RootCn | Informationen zu Labels.Schlüssel/Wert | |
| SNI-Länge (sni_len) | PanOSSNI-Länge | Logo: sni_len | Informationen zu Labels.Schlüssel/Wert | |
| Zertifikats-Flags (cert_flags) | PanOSCertificateFlags | cert_flags | Informationen zu Labels.Schlüssel/Wert | |
| Allgemeiner Name des Antragstellers (cn) | PanOSCommonName | cn | Informationen zu Labels.Schlüssel/Wert | |
| Allgemeiner Aussteller des Ausstellers (issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer. | ||
| Root Common Name (Stamm-Cn) | PanOSRootCommonName | root_cn | Informationen zu Labels.Schlüssel/Wert | |
| Server Name Indication
(SNI) |
network.tls.client.server_name | |||
| Fehler (error) | PanOS-Fehlermeldung | Fehler | Informationen zu Labels.Schlüssel/Wert | |
| Container-ID (container_id) | PanOSContainer-ID | Container-ID | Informationen zu Labels.Schlüssel/Wert | |
| POD-Namespace (pod_namespace) | PanOSContainerNameSpace (PanOSContainerNameSpace) | pod_namespace | Informationen zu Labels.Schlüssel/Wert | |
| POD-Name (pod_name) | PanOSContainer-Name | pod_name | Informationen zu Labels.Schlüssel/Wert | |
| Externe dynamische Liste der Quelle (src_edl) | PanOSSourceEDL | src_edl | Hauptkonto.labels.Schlüssel/Wert | |
| Externe dynamische Liste des Ziels (dst_edl) | PanOSDestinationEDL | DST | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Dynamische Quelladressegruppe (src_dag) | PanOSSourceDynamicAddressGroup | Hauptkontogruppe.gruppen_Anzeigename | ||
| Dynamische Zieladresse (dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
| Hochauflösender Zeitstempel (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
||
| Quellgerätekategorie (src_category) | PanOSSourceDeviceCategory | src_category [Kategorie] | Hauptkonto.labels.Schlüssel/Wert | |
| Profil des Quellgeräts (src_profile) | PanOSSourceDeviceProfile | src_profile (Profil) | Hauptkonto.labels.Schlüssel/Wert | |
| Quellgerätemodell (src_model) | PanOSSourceDeviceModel | Modell | Hauptkonto.labels.Schlüssel/Wert | |
| Quellgeräteanbieter (src_vendor) | PanOSSourceDeviceAnbieter | src_vendor | Hauptkonto.labels.Schlüssel/Wert | |
| Betriebssystemfamilie des Quellgeräts (src_osfamily) | PanOSSourceDeviceOSFamily | Principal.Asset.Platform_Software.Platform
Hauptkonto.labels.Schlüssel/Wert |
||
| Betriebssystemversion des Quellgeräts (src_osversion) | PanOSSourceDeviceOSVersion | Hauptkonto.asset.software.version | ||
| Hostname der Quelle (src_host) | PanOSSourceDeviceHost | Hauptkonto.hostname | ||
| Quell-MAC-Adresse (src_mac) | PanOSSourceDeviceMac | Hauptkonto.mac | ||
| Zielgerätekategorie (dst_category) | PanOSDestinationDeviceCategory | dst_kategorie | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgeräteprofil (dst_profile) | PanOSDestinationDeviceProfile | dst_profil | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgerätemodell (dst_model) | PanOSDestinationDeviceModel | dst_Modell | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgeräteanbieter (dst_vendor) | PanOSDestinationDeviceVendor | dst_anbieter | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Betriebssystem des Zielgeräts (dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Betriebssystemversion des Zielgeräts (dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
| Zielhostname (dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
| Ziel-MAC-Adresse (dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
| Sequenznummer (Sequenznummer) | PanOSLogTypeSeqNein | Metadaten.Produkt_ID | ||
| Aktions-Flags (actionFlags) | PanOSActionFlags | actionflags | Informationen zu Labels.Schlüssel/Wert | |
| Gerätegruppenhierarchie (dg_hier_level_1) | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert | |
| Gerätegruppenhierarchie (dg_hier_level_2) | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert | |
| Gerätegruppenhierarchie (dg_hier_level_3) | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert | |
| Gerätegruppenhierarchie (dg_hier_level_4) | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert | |
| Name des virtuellen Systems (vsys_name) | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|||
| Gerätename (device_name) | intermediary.hostname | |||
| Virtuelle System-ID (vsys_id) | Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id | |||
| Unterkategorie der Anwendung (unterkategorie_von_app) | Unterkategorie_App | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungskategorie (category_of_app) | App-Kategorie | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungstechnologie (technology_of_app) | app_technologie | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungsrisiko (Risiko_der_App) | security_result.severity | |||
| Anwendungsmerkmal (characteristic_of_app) | charakteristische_app_ | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungscontainer (container_of_app) | Container_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| SaaS für Anwendungen (is_saas_of_app) | ist_saas_von_app | Informationen zu Labels.Schlüssel/Wert | ||
| Von der Anwendung sanktionierter Zustand (sanctioned_state_of_app) | Sanktionszustand_der_App | Informationen zu Labels.Schlüssel/Wert |
Tunnel-
In der folgenden Tabelle sind die Logfelder des Tunnel-Logtyps und die zugehörigen UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit oder CEF-formatierte Empfangszeit) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze | Metadaten.Produktereignisereignis | |
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Subtyp | Metadaten.Produktereignisereignis | |
| Generated Time (time_generated oder cef formatted-time_generate) | Metadaten.Ereignis_Zeitstempel | |||
| Quelladresse (src) | src | src | Hauptkonto.ip | |
| Zieladresse (dst) | dst | dst | Ziel-IP | |
| NAT-Quell-IP (natsrc) | Quellübersetzte Adresse | srcPostNAT (srcPostNAT) | Hauptkonto.nat_ip | |
| NAT-Ziel-IP-Adresse (ntdst) | DestinationTranslatedAddress | dstPostNAT | target_nat_ip | |
| Regelname (Regel) | CS1 | Regelname | security_result.rule_name | |
| Quellnutzer (srcuser) | Suser | Quellnutzer / usrName | Hauptkonto.Nutzer.Nutzer-ID | |
| Zielnutzer (dstuser) | Duser | Zielnutzer | target.user.userid | |
| Anwendung (App) | App | Anwendung | Netzwerk.Anwendungsprotokoll | |
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Quellzone (von) | CS4 | Quellzone | von | Hauptkonto.labels.Schlüssel/Wert |
| Zielzone (nach) | CS5 | Zielzone | Bis | target.labels.key/value (Ziellabel.Schlüssel/Wert) |
| Inbound-Benutzeroberfläche (inbound_if) | deviceInboundInterface | Ingress-Oberfläche | Inbound_if | Hauptkonto.labels.Schlüssel/Wert |
| Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | Ausgehende Schnittstelle | Outbound_IF | target.labels.key/value (Ziellabel.Schlüssel/Wert) |
| Log-Aktion (Logset) | CS6 | LogWeiterleiten-Profil | Logset | Informationen zu Labels.Schlüssel/Wert |
| Sitzungs-ID (sessionid) | Cn1 | Sitzungs-ID | network.session_id (Netzwerk-ID) | |
| Anzahl der Wiederholungen (Repeatcnt) | CST | Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert |
| Quellport (Sport) | STP | srcPort | Hauptkonto | |
| Zielport (dport) | DDP | dstPort | Zielport | |
| NAT-Quellport (natsport) | QuellübersetzerPort | srcPostNAT-Port | Hauptkonto.nat_port | |
| NAT-Zielport (natdport) | ZielübersetzterPort | dstPostNAT-Port | Ziel-Port | |
| Flags (Flags) | FlexString1 | Flags | flags | Informationen zu Labels.Schlüssel/Wert |
| IP-Protokoll (Proto) | Proto | Proto | network.ip_protokoll | |
| Aktion (Aktion) | Akt | Aktion | Details zum Sicherheitsergebnis
Sicherheitsergebnis |
|
| Schweregrad (Schweregrad) | security_result.severity und security_result.severity_details | |||
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Quellort (srcloc) | Hauptkonto.Ort.Land_oder Region | |||
| Zielort (dstloc) | target.location.country_or_region | |||
| Gerätegruppenhierarchie (dg_hier_level_1) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Tunnel-ID (tunnelid) | PanOSTunnelID | Tunnel-ID | Tunnel-ID | Informationen zu Labels.Schlüssel/Wert |
| Tag überwachen (monitortag) | PanOSMonitor-Tag | Monitor-Tag | Monitor-Tag | Informationen zu Labels.Schlüssel/Wert |
| ID der übergeordneten Sitzung (parent_session_id) | PanOSParentSessionID | ID der übergeordneten Sitzung | ID der übergeordneten Sitzung | Informationen zu Labels.Schlüssel/Wert |
| Startzeit des übergeordneten Elements (parent_start_time) | Startzeit von PanOSParent | Übergeordnete Startzeit | Elternzeit | Informationen zu Labels.Schlüssel/Wert |
| Tunneltyp (Tunnel) | CS2 | Tunneltyp | Tunnel | Informationen zu Labels.Schlüssel/Wert |
| Byte (Byte) | FlexNumber1 | Bytes insgesamt | Byte | Informationen zu Labels.Schlüssel/Wert |
| Gesendete Bytes (bytes_sent) | in | srcByte | network.Receivedd_Byte | |
| Empfangene Byte (Bytes Received) | out | dstByte | network.sent_bytes | |
| Pakete (Pakete) | Cn2 | Gesamtzahl der Pakete | Pakete | Informationen zu Labels.Schlüssel/Wert |
| Gesendete Pakete (pkts_sent) | PanOSPacketsGesendet | src-Pakete | Pkts_sent | Informationen zu Labels.Schlüssel/Wert |
| Erhaltene Pakete (pkts_received) | PanOS-Pakete erhalten | dst-Pakete | Pkts_Received | Informationen zu Labels.Schlüssel/Wert |
| Maximale Kapselung (max_encap) | FlexNumber2 | MaximumEncapsulation | max_encap | Informationen zu Labels.Schlüssel/Wert |
| Unbekanntes Protokoll (unbekannt_proto) | cfp1 | Unbekanntes Protokoll | Unbekannter_Prototyp | Informationen zu Labels.Schlüssel/Wert |
| Strenge Prüfung (strict_check) | cfp2 | Strikt prüfen | Strikte Prüfung | Informationen zu Labels.Schlüssel/Wert |
| Tunnelfragment (tunnel_fragment) | PanOSTunnelFragment | Tunnelfragment | Tunnelfragment | Informationen zu Labels.Schlüssel/Wert |
| Erstellte Sitzungen (sessions_created) | konf.3 | Sitzungen erstellt | Sitzungen_erstellt | Informationen zu Labels.Schlüssel/Wert |
| Geschlossene Sitzungen (sessions_closed) | konf.4 | Sitzungen geschlossen | Sitzungen_geschlossen | Informationen zu Labels.Schlüssel/Wert |
| Grund für das Ende der Sitzung (session_end_reason) | reason | Sitzung – Grund | Sicherheitsergebnis | |
| Aktionsquelle (action_source) | Katze | Aktionsquelle | Aktion_Quelle | Informationen zu Labels.Schlüssel/Wert |
| Beginn (Start) | Startzeit | Starten | Informationen zu Labels.Schlüssel/Wert | |
| Verstrichene Zeit (verstrichen) | Cn3 | Verstrichene Zeit | verstrichen | Informationen zu Labels.Schlüssel/Wert |
| Tunnelinspektionsregel (tunnel_insp_rule) | PanOSTunneinspektionsregel | security_result.rule_name = "Tunnelinspektionsregel: %{PanOSTunnelInspectionRule}" | ||
| Remote-Nutzer-IP (remote_user_ip) | PanOSRmt-Nutzer-IP | Ziel-IP | ||
| Remote-Nutzer-ID (remote_user_id) | PanOSRmt-Nutzer-ID | remote_user_id (Remote-Nutzer-ID) | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Sicherheitsregel-UUID (rule_uuid) | PanOSRuleUUID | Sicherheits_Ergebnis.Regel-ID | ||
| PCAP-ID (pcap_id) | PanOSPcap-ID | pcap-ID | Informationen zu Labels.Schlüssel/Wert | |
| Name der dynamischen Nutzergruppe (dynusergroup_name) | PanDynamicUsrgrp | Hauptkontogruppe.gruppen_Anzeigename | ||
| Externe dynamische Liste der Quelle (src_edl) | PanOSSourceEDL | src_edl | Hauptkonto.labels.Schlüssel/Wert | |
| Externe dynamische Liste des Ziels (dst_edl) | PanOSDestinationEDL | DST | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Hochauflösender Zeitstempel (hochauflösender Zeitstempel) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
||
| Ein Slice Differentiator (nssai_sd) | NSSSA_SD | Informationen zu Labels.Schlüssel/Wert | ||
| Ein Segmenttyp (nssai_sd) | Nssai_sd1 | Informationen zu Labels.Schlüssel/Wert | ||
| PDU-Sitzungs-ID (pdu_session_id) | pdu_session_id | Informationen zu Labels.Schlüssel/Wert | ||
| Unterkategorie der Anwendung (unterkategorie_von_app) | Unterkategorie_App | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungskategorie (category_of_app) | App-Kategorie | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungstechnologie (technology_of_app) | app_technologie | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungsrisiko (Risiko_der_App) | Risiko_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungsmerkmal (characteristic_of_app) | charakteristische_app_ | Informationen zu Labels.Schlüssel/Wert | ||
| Anwendungscontainer (container_of_app) | Container_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| SaaS für Anwendungen (is_saas_of_app) | ist_saas_von_app | Informationen zu Labels.Schlüssel/Wert | ||
| Von der Anwendung sanktionierter Zustand (sanctioned_state_of_app) | Sanktionszustand_der_App | Informationen zu Labels.Schlüssel/Wert |
Authentifizierung
In der folgenden Tabelle sind die Logfelder des Authentifizierungslogtyps und die entsprechenden UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit oder CEF-formatierte Empfangszeit) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze | Metadaten.Produktereignisereignis | |
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Subtyp | Metadaten.Produktereignisereignis | |
| Generated Time (time_generated oder cef formatted-time_generate) | Metadaten.Ereignis_Zeitstempel | |||
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Quell-IP (IP) | src | src | Hauptkonto.ip | |
| Nutzer (Nutzer) | Duser | Logo: usrName | target.user.userid | |
| Nutzer normalisieren (normalize_user) | CS2 | Nutzer normalisieren | target.user.user_display_name | |
| Objekt (Objekt) | fname | ObjectName | Objekt | Informationen zu Labels.Schlüssel/Wert |
| Authentifizierungsrichtlinie (authpolicy) | CS4 | AuthPolicy | Authentifizierungsrichtlinie | Informationen zu Labels.Schlüssel/Wert |
| Anzahl der Wiederholungen (Repeatcnt) | CST | Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert |
| Authentifizierungs-ID (authid) | Cn2 | AuthenticationID | Authentifizierungs-ID | Informationen zu Labels.Schlüssel/Wert |
| Anbieter (Anbieter) | FlexString2 | Vendor | vendor | Informationen zu Labels.Schlüssel/Wert |
| Log-Aktion (Logset) | CS6 | LogWeiterleiten-Profil | Logset | Informationen zu Labels.Schlüssel/Wert |
| Serverprofil (Serverprofil) | CS1 | Serverprofil | Serverprofil | Informationen zu Labels.Schlüssel/Wert |
| Beschreibung (Beschreibung) | PanOSDesc | Zusätzliche Authentifizierungsinformationen | Sicherheitsergebnis | |
| Clienttyp (clienttype) | CS5 | Clienttyp | Clienttyp | Informationen zu Labels.Schlüssel/Wert |
| Ereignistyp (Ereignis) | msg | msg | extensions.auth.auth_details | |
| Faktornummer (Faktor) | Cn1 | Faktornummer | Faktor | Informationen zu Labels.Schlüssel/Wert |
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_1) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Virtuelle System-ID (vsys_id) | Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id | |||
| Authentication Protocol (authproto) | Authproto | Informationen zu Labels.Schlüssel/Wert | ||
| UUID für Regel (rule_uuid) | PanOSRuleUUID | Sicherheits_Ergebnis.Regel-ID | ||
| Hochauflösender Zeitstempel (high_res _timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
||
| Quellgerätekategorie (src_category) | PanOSSourceDeviceCategory | src_category [Kategorie] | Hauptkonto.labels.Schlüssel/Wert | |
| Profil des Quellgeräts (src_profile) | PanOSSourceDeviceProfile | src_profile (Profil) | Hauptkonto.labels.Schlüssel/Wert | |
| Quellgerätemodell (src_model) | PanOSSourceDeviceModel | Modell | Hauptkonto.labels.Schlüssel/Wert | |
| Quellgeräteanbieter (src_vendor) | PanOSSourceDeviceAnbieter | src_vendor | Hauptkonto.labels.Schlüssel/Wert | |
| Betriebssystemfamilie des Quellgeräts (src_osfamily) | PanOSSourceDeviceOSFamily | Principal.Asset.Platform_Software.Platform
Hauptkonto.labels.Schlüssel/Wert |
||
| Betriebssystemversion des Quellgeräts (src_osversion) | PanOSSourceDeviceOSVersion | Hauptkonto.asset.software.version | ||
| Hostname der Quelle (src_host) | PanOSSourceHostname (Hostname des PanOSSource) | Hauptkonto.hostname | ||
| Quell-MAC-Adresse (src_mac) | PanOSSourceMac | Hauptkonto.asset.mac | ||
| Region (Region) | PanOSTrafficOriginRegion | Hauptkonto.Ort.Land_oder Region | ||
| User-Agent (user_agent) | PanOSHTTPUserAgent | network.http.user_agent. | ||
| Sitzungs-ID(Sitzungs-ID) | PanOSTrafficSession-ID | network.session_id (Netzwerk-ID) |
URL (URL)
In der folgenden Tabelle sind die Logfelder des URL-Logtyps und die entsprechenden UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (cef-formatted-receive_time) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze | Metadaten.Produktereignisereignis | |
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Subtyp | Metadaten.Produktereignisereignis | |
| Zeit generieren | Metadaten.Ereignis_Zeitstempel | |||
| Quelladresse (src) | src | src | Hauptkonto.ip | |
| Zieladresse (dst) | dst | dst | Ziel-IP | |
| NAT-Quell-IP (natsrc) | Quellübersetzte Adresse | srcPostNAT (srcPostNAT) | Hauptkonto.nat_ip | |
| NAT-Ziel-IP-Adresse (ntdst) | DestinationTranslatedAddress | dstPostNAT | target_nat_ip | |
| Regel (Regel) | CS1 | Regelname | security_result.rule_name | |
| Quellnutzer (srcuser) | Suser | Quellnutzer | Hauptkonto.Nutzer.Nutzer-ID | |
| Zielnutzer (dstuser) | Duser | Zielnutzer | target.user.userid | |
| Anwendung (App) | App | Anwendung | Netzwerk.Anwendungsprotokoll | |
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Quellzone (von) | CS4 | Quellzone | von | Hauptkonto.labels.Schlüssel/Wert |
| Zielzone (nach) | CS5 | Zielzone | Bis | target.labels.key/value (Ziellabel.Schlüssel/Wert) |
| Inbound-Benutzeroberfläche (inbound_if) | deviceInboundInterface | Ingress-Oberfläche | Inbound_if | Hauptkonto.labels.Schlüssel/Wert |
| Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | Ausgehende Schnittstelle | Outbound_IF | target.labels.key/value (Ziellabel.Schlüssel/Wert) |
| Log-Aktion (Logset) | CS6 | LogWeiterleiten-Profil | Logset | Informationen zu Labels.Schlüssel/Wert |
| Protokollierte Zeit | Zeit protokolliert | Informationen zu Labels.Schlüssel/Wert | ||
| Sitzungs-ID (sessionid) | Cn1 | Sitzungs-ID | network.session_id (Netzwerk-ID) | |
| Anzahl der Wiederholungen (Repeatcnt) | CST | Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert |
| Quellport (Sport) | STP | srcPort | Hauptkonto | |
| Zielport (dport) | DDP | dstPort | Zielport | |
| NAT-Quellport (natsport) | QuellübersetzerPort | srcPostNAT-Port | Hauptkonto.nat_port | |
| NAT-Zielport (natdport) | ZielübersetzterPort | dstPostNAT-Port | Ziel-Port | |
| Flags (Flags) | FlexString1 | Flags | flags | Informationen zu Labels.Schlüssel/Wert |
| IP-Protokoll (Proto) | Proto | Proto | network.ip_protokoll | |
| Aktion (Aktion) | Akt | Aktion | Details zum Sicherheitsergebnis
Sicherheitsergebnis |
|
| URL/Dateiname (Sonstiges) | Andere Beteiligte | target.file.full_path
Ziel-URL |
||
| Drohung/Inhaltsname (threatid) | Katze | Bedrohungs-ID | security_result.threat_id | |
| Kategorie (Kategorie) | CS2 | URL-Kategorie | category | Informationen zu Labels.Schlüssel/Wert |
| Schweregrad (Schweregrad) | Anzahl der Schweregrade (Header) | Schweregrad | security_result.severity
Details zum Sicherheitsergebnis |
|
| Richtung (Richtung) | FlexString2 | Richtung | network.direction | |
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Quellland (srcloc) | Quellort | Hauptkonto.Ort.Land_oder Region | ||
| Zielland (dstloc) | Zielort | target.location.country_or_region | ||
| Inhaltstyp (contenttype) | Anfragekontext | ContentType | Inhaltstyp | Informationen zu Labels.Schlüssel/Wert |
| pcap_id (pcap_id) | Datei-ID | PCAP_ID (PCAP_ID) | pcap-ID | Informationen zu Labels.Schlüssel/Wert |
| filedigest (filedigest) | FileDigest | info.datei.sha1/md5/sha256 | ||
| Cloud (Cloud) | Cloud | cloud | Informationen zu Labels.Schlüssel/Wert | |
| url_idx (url_idx) | URL-Index | URL_IDX | Informationen zu Labels.Schlüssel/Wert | |
| user_agent (Nutzer-Agent) | requestClientApplication | User-Agent | network.http.user_agent. | |
| Dateityp (Dateityp) | info.datei.mime_type | |||
| xff (xff) | PanOSXForwarderfor | identSrc | XFF | Informationen zu Labels.Schlüssel/Wert |
| Verweis-URL (Verweis) | PanOSReferer | Verwiesen von: | network.http.Verweis_URL | |
| Absender (Absender) | network.email.from | |||
| Betreff (Betreff) | Betreff | netzwerk.email.subject | ||
| Empfänger (Empfänger) | network.email.to | |||
| reportid (reportid) | Berichts-ID | Informationen zu Labels.Schlüssel/Wert | ||
| DG-Hierarchieebene 1 (dg_hier_level_1) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| DG-Hierarchieebene 2 (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| DG-Hierarchieebene 3 (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| DG-Hierarchieebene 4 (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Datei-URL (Datei-URL) | info.url | |||
| Quell-VM-UUID (src_uuid) | SrcUUID | Hauptkonto.asset.asset_id | ||
| Ziel-VM-UUID (dst_uuid) | dst-UUID | Ziel-Asset.Asset-ID | ||
| http_method (http_method) | Anfragemethode | Anfragemethode | network.http.method | |
| Tunnel-ID/IMSI (Tunnel-ID) | PanOSTunnelID | Tunnel-ID | Tunnel-ID | Informationen zu Labels.Schlüssel/Wert |
| Tag/IMEI (monitortag) überwachen | PanOSMonitor-Tag | Monitor-Tag | Monitor-Tag | Informationen zu Labels.Schlüssel/Wert |
| ID der übergeordneten Sitzung (parent_session_id) | PanOSParentSessionID | ID der übergeordneten Sitzung | ID der übergeordneten Sitzung | Informationen zu Labels.Schlüssel/Wert |
| Beginn der übergeordneten Sitzung (parent_start_time) | Startzeit von PanOSParent | Übergeordnete Startzeit | Elternzeit | Informationen zu Labels.Schlüssel/Wert |
| Tunnel (Tunnel) | PanOSTunnelType | Tunneltyp | Tunnel | Informationen zu Labels.Schlüssel/Wert |
| thr_category (thr_category) | PanOSThreatCategory | Bedrohungskategorie | Kategorie | security_result.detection_fields.key/Wert |
| contentver (contentver) | PanOSContentVer | ContentVer | Contentver | Informationen zu Labels.Schlüssel/Wert |
| sig_flags (sig_flags) | sig_flags | Informationen zu Labels.Schlüssel/Wert | ||
| SCTP-Verknüpfungs-ID (assoc_id) | PanOSAssocID | Assoc_ID | Informationen zu Labels.Schlüssel/Wert | |
| Nutzlastprotokoll-ID (ppid) | PanOS-PPID | ppid | Informationen zu Labels.Schlüssel/Wert | |
| http_headers (http_headers) | PanOSHTTPHeader | http_Header | Informationen zu Labels.Schlüssel/Wert | |
| URL-Kategorieliste (url_category_list) | PanOSURLCatList (PaOS-URL-Liste) | URL-Kategorieliste | Informationen zu Labels.Schlüssel/Wert | |
| UUID für Regel (rule_uuid) | PanOSRuleUUID | Regel-Uuid | Informationen zu Labels.Schlüssel/Wert | |
| HTTP/2-Verbindung (http2_connection) | PanOSHTTP2Con | http2_Verbindung | Informationen zu Labels.Schlüssel/Wert | |
| dynusergroup_name (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name (dynusergroup_name) | Informationen zu Labels.Schlüssel/Wert | |
| XFF-Adresse (xff_ip) | Panxffip | Hauptkonto.ip | ||
| Quellgerätekategorie (src_category) | PanSrcDeviceCat | src_category [Kategorie] | Hauptkonto.labels.Schlüssel/Wert | |
| Profil des Quellgeräts (src_profile) | Schwenkgerät | src_profile (Profil) | Hauptkonto.labels.Schlüssel/Wert | |
| Quellgerätemodell (src_model) | PanSrcDeviceModel | Modell | Hauptkonto.labels.Schlüssel/Wert | |
| Quellgeräteanbieter (src_vendor) | PanSrcDeviceVendor | src_vendor | Hauptkonto.labels.Schlüssel/Wert | |
| Betriebssystemfamilie des Quellgeräts (src_osfamily) | PanSrcDeviceOS | Principal.Asset.Platform_Software.Platform
Hauptkonto.labels.Schlüssel/Wert |
||
| Betriebssystemversion des Quellgeräts (src_osversion) | PanSrcDeviceOSv | Hauptkonto.asset.software.version | ||
| Hostname der Quelle (src_host) | PanSrcHostname | src_host (src_host) | Hauptkonto.labels.Schlüssel/Wert | |
| Quell-MAC-Adresse (src_mac) | Schwenk-Mac | Hauptkonto.mac | ||
| Zielgerätekategorie (dst_category) | PanDstDeviceCat | dst_kategorie | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgeräteprofil (dst_profile) | PanDstDeviceProf | dst_profil | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgerätemodell (dst_model) | PanDstDeviceModell | dst_Modell | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Zielgeräteanbieter (dst_vendor) | PanDstDeviceAnbieter | dst_anbieter | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Betriebssystem des Zielgeräts (dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key/value (Ziellabel.Schlüssel/Wert) |
||
| Betriebssystemversion des Zielgeräts (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Zielhostname (dst_host) | PanPODNamespace | target.hostname | ||
| Ziel-MAC-Adresse (dst_mac) | PanDstMac | target.mac | ||
| Container-ID (container_id) | PanContainerName | Container-ID | Informationen zu Labels.Schlüssel/Wert | |
| POD-Namespace (pod_namespace) | PanPODNamespace | pod_namespace | Informationen zu Labels.Schlüssel/Wert | |
| POD-Name (pod_name) | PanPOD-Name | pod_name | Informationen zu Labels.Schlüssel/Wert | |
| Externe dynamische Liste der Quelle (src_edl) | PanSrcEDL | src_edl | Hauptkonto.labels.Schlüssel/Wert | |
| Externe dynamische Liste des Ziels (dst_edl) | PanDstEDL | DST | target.labels.key/value (Ziellabel.Schlüssel/Wert) | |
| Host-ID (Host-ID) | PanGPHost-ID | Host-ID | Informationen zu Labels.Schlüssel/Wert | |
| Seriennummer (Seriennummer) | PanEPSerie | Hauptkonto.asset.hardware.serial_number | ||
| domain_edl (domain_edl) | PanDomainEDL | domain_edl | Informationen zu Labels.Schlüssel/Wert | |
| Dynamische Quelladressegruppe (src_dag) | Logo: PanSrcDAG | Hauptkontogruppe.gruppen_Anzeigename | ||
| Dynamische Zieladresse (dst_dag) | DAG-DAG | target.group.group_display_name | ||
| partieller_Hash (teilweise_Hash) | PanPartialHash | Teil-Hash | Informationen zu Labels.Schlüssel/Wert | |
| Hochauflösender Zeitstempel (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
||
| Grund (Grund) | Aktion für Grundfilter | reason | Informationen zu Labels.Schlüssel/Wert | |
| Begründung (Begründung) | PanJustification | Begründung | Informationen zu Labels.Schlüssel/Wert | |
| nssai_sst (nssai_sst) | PanASServiceTyp | NSSSA | Informationen zu Labels.Schlüssel/Wert | |
| Unterkategorie der App (subcategory_of_app) | Unterkategorie_App | Informationen zu Labels.Schlüssel/Wert | ||
| App-Kategorie (category_of_app) | App-Kategorie | Informationen zu Labels.Schlüssel/Wert | ||
| App-Technologie (technology_of_app) | app_technologie | Informationen zu Labels.Schlüssel/Wert | ||
| App-Risiko (Risiko_der_App) | Risiko_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| Merkmal der App (characteristic_of_app) | charakteristische_app_ | Informationen zu Labels.Schlüssel/Wert | ||
| Container der Anwendung (container_of_app) | Container_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| Getunnelte Anwendung (tunneled_app) | getunnelte_App | Informationen zu Labels.Schlüssel/Wert | ||
| SaaS der App (is_saas_of_app) | ist_saas_von_app | Informationen zu Labels.Schlüssel/Wert | ||
| Genehmigter Zustand der App (sanctioned_state_of_app) | Sanktionszustand_der_App | Informationen zu Labels.Schlüssel/Wert |
Daten
In der folgenden Tabelle sind die Logfelder des Daten-Logtyps und die entsprechenden UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (cef-formatted-receive_time) | RT | Entwicklungszeit | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|
| Seriennummer (Seriennummer) | deviceExternalId | Seriennummer | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Katze | Metadaten.Produktereignisereignis | |
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Subtyp | Metadaten.Produktereignisereignis | |
| Zeit generieren | Metadaten.Ereignis_Zeitstempel | |||
| Quelladresse (src) | src | src | Hauptkonto.ip | |
| Zieladresse (dst) | dst | dst | Ziel-IP | |
| NAT-Quell-IP (natsrc) | Quellübersetzte Adresse | srcPostNAT (srcPostNAT) | Hauptkonto.nat_ip | |
| NAT-Ziel-IP-Adresse (ntdst) | DestinationTranslatedAddress | dstPostNAT | target_nat_ip | |
| Regel (Regel) | CS1 | Regelname | security_result.rule_name | |
| Quellnutzer (srcuser) | Suser | Quellnutzer | Hauptkonto.Nutzer.Nutzer-ID | |
| Zielnutzer (dstuser) | Duser | Zielnutzer | target.user.userid | |
| Anwendung (App) | App | Anwendung | Netzwerk.Anwendungsprotokoll | |
| Virtuelles System (vsys) | CS3 | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert |
| Quellzone (von) | CS4 | Quellzone | von | Hauptkonto.labels.Schlüssel/Wert |
| Zielzone (nach) | CS5 | Zielzone | Bis | target.labels.key/value (Ziellabel.Schlüssel/Wert) |
| Inbound-Benutzeroberfläche (inbound_if) | deviceInboundInterface | Ingress-Oberfläche | Inbound_if | Hauptkonto.labels.Schlüssel/Wert |
| Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | Ausgehende Schnittstelle | Outbound_IF | target.labels.key/value (Ziellabel.Schlüssel/Wert) |
| Log-Aktion (Logset) | CS6 | LogWeiterleiten-Profil | Logset | Informationen zu Labels.Schlüssel/Wert |
| Protokollierte Zeit | Zeit protokolliert | Informationen zu Labels.Schlüssel/Wert | ||
| Sitzungs-ID (sessionid) | Cn1 | Sitzungs-ID | network.session_id (Netzwerk-ID) | |
| Anzahl der Wiederholungen (Repeatcnt) | CST | Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert |
| Quellport (Sport) | STP | srcPort | Hauptkonto | |
| Zielport (dport) | DDP | dstPort | Zielport | |
| NAT-Quellport (natsport) | QuellübersetzerPort | srcPostNAT-Port | Hauptkonto.nat_port | |
| NAT-Zielport (natdport) | ZielübersetzterPort | dstPostNAT-Port | Ziel-Port | |
| Flags (Flags) | FlexString1 | Flags | flags | Informationen zu Labels.Schlüssel/Wert |
| IP-Protokoll (Proto) | Proto | Proto | network.ip_protokoll | |
| Aktion (Aktion) | Akt | Aktion | Details zum Sicherheitsergebnis
Sicherheitsergebnis |
|
| URL/Dateiname (Sonstiges) | Andere Beteiligte | target.file.full_path
Ziel-URL |
||
| Drohung/Inhaltsname (threatid) | Katze | Bedrohungs-ID | security_result.threat_id | |
| Kategorie (Kategorie) | CS2 | URL-Kategorie | category | Informationen zu Labels.Schlüssel/Wert |
| Schweregrad (Schweregrad) | Anzahl der Schweregrade (Header) | Schweregrad | security_result.severity
Details zum Sicherheitsergebnis |
|
| Richtung (Richtung) | FlexString2 | Richtung | network.direction | |
| Sequenznummer (Sequenznummer) | externalId | Sequenz | Metadaten.Produkt_ID | |
| Aktions-Flags (actionFlags) | PanOSActionFlags | Aktions-Flags | actionflags | Informationen zu Labels.Schlüssel/Wert |
| Quellland (srcloc) | Quellort | Hauptkonto.Ort.Land_oder Region | ||
| Zielland (dstloc) | Zielort | target.location.country_or_region | ||
| Inhaltstyp (contenttype) | ContentType | Inhaltstyp | Informationen zu Labels.Schlüssel/Wert | |
| pcap_id (pcap_id) | Datei-ID | PCAP_ID (PCAP_ID) | pcap-ID | Informationen zu Labels.Schlüssel/Wert |
| filedigest (filedigest) | FileDigest | info.datei.sha1/md5/sha256 | ||
| Cloud (Cloud) | Cloud | cloud | Informationen zu Labels.Schlüssel/Wert | |
| url_idx (url_idx) | URL-Index | URL_IDX | Informationen zu Labels.Schlüssel/Wert | |
| user_agent (Nutzer-Agent) | network.http.user_agent. | |||
| Dateityp (Dateityp) | info.datei.mime_type | |||
| xff (xff) | XFF | Informationen zu Labels.Schlüssel/Wert | ||
| Verweis-URL (Verweis) | network.http.Verweis_URL | |||
| Absender (Absender) | network.email.from | |||
| Betreff (Betreff) | Betreff | netzwerk.email.subject | ||
| Empfänger (Empfänger) | network.email.to | |||
| reportid (reportid) | Berichts-ID | Informationen zu Labels.Schlüssel/Wert | ||
| DG-Hierarchieebene 1 (dg_hier_level_1) | PanOSDGl1 | GerätegruppenHierarchyL1 | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert |
| DG-Hierarchieebene 2 (dg_hier_level_2) | PanOSDGl2 | GerätegruppenHierarchyL2 | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert |
| DG-Hierarchieebene 3 (dg_hier_level_3) | PanOSDGl3 | GerätegruppenHierarchyL3 | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert |
| DG-Hierarchieebene 4 (dg_hier_level_4) | PanOSDGl4 | GerätegruppenHierarchyL4 | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert |
| Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|
| Gerätename (device_name) | DvCHost | DeviceName | intermediary.hostname | |
| Datei-URL (Datei-URL) | info.url | |||
| Quell-VM-UUID (src_uuid) | SrcUUID | Hauptkonto.asset.asset_id | ||
| Ziel-VM-UUID (dst_uuid) | dst-UUID | Ziel-Asset.Asset-ID | ||
| http_method (http_method) | Anfragemethode | network.http.method | ||
| Tunnel-ID/IMSI (Tunnel-ID) | PanOSTunnelID | Tunnel-ID | Tunnel-ID | Informationen zu Labels.Schlüssel/Wert |
| Tag/IMEI (monitortag) überwachen | PanOSMonitor-Tag | Monitor-Tag | Monitor-Tag | Informationen zu Labels.Schlüssel/Wert |
| ID der übergeordneten Sitzung (parent_session_id) | PanOSParentSessionID | ID der übergeordneten Sitzung | ID der übergeordneten Sitzung | Informationen zu Labels.Schlüssel/Wert |
| Beginn der übergeordneten Sitzung (parent_start_time) | Startzeit von PanOSParent | Übergeordnete Startzeit | Elternzeit | Informationen zu Labels.Schlüssel/Wert |
| Tunnel (Tunnel) | PanOSTunnelType | Tunneltyp | Tunnel | Informationen zu Labels.Schlüssel/Wert |
| thr_category (thr_category) | PanOSThreatCategory | Bedrohungskategorie | Kategorie | security_result.detection_fields.key/Wert |
| contentver (contentver) | PanOSContentVer | ContentVer | Contentver | Informationen zu Labels.Schlüssel/Wert |
| sig_flags (sig_flags) | sig_flags | Informationen zu Labels.Schlüssel/Wert | ||
| SCTP-Verknüpfungs-ID (assoc_id) | PanOSAssocID | Assoc_ID | Informationen zu Labels.Schlüssel/Wert | |
| Nutzlastprotokoll-ID (ppid) | PanOS-PPID | ppid | Informationen zu Labels.Schlüssel/Wert | |
| http_headers (http_headers) | PanOSHTTPHeader | http_Header | Informationen zu Labels.Schlüssel/Wert | |
| URL-Kategorieliste (url_category_list) | URL-Kategorieliste | Informationen zu Labels.Schlüssel/Wert | ||
| UUID für Regel (rule_uuid) | PanOSRuleUUID | Regel-Uuid | Informationen zu Labels.Schlüssel/Wert | |
| HTTP/2-Verbindung (http2_connection) | http2_Verbindung | Informationen zu Labels.Schlüssel/Wert | ||
| dynusergroup_name (dynusergroup_name) | dynusergroup_name (dynusergroup_name) | Hauptkonto.labels.Schlüssel/Wert | ||
| XFF-Adresse (xff_ip) | Hauptkonto.ip | |||
| Quellgerätekategorie (src_category) | src_category [Kategorie] | Hauptkonto.labels.Schlüssel/Wert | ||
| Profil des Quellgeräts (src_profile) | src_profile (Profil) | Hauptkonto.labels.Schlüssel/Wert | ||
| Quellgerätemodell (src_model) | Modell | Hauptkonto.labels.Schlüssel/Wert | ||
| Quellgeräteanbieter (src_vendor) | src_vendor | Hauptkonto.labels.Schlüssel/Wert | ||
| Betriebssystemfamilie des Quellgeräts (src_osfamily) | Principal.Asset.Platform_Software.Platform
Hauptkonto.labels.Schlüssel/Wert |
|||
| Betriebssystemversion des Quellgeräts (src_osversion) | Hauptkonto.asset.software.version | |||
| Hostname der Quelle (src_host) | src_host (src_host) | Hauptkonto.labels.Schlüssel/Wert | ||
| Quell-MAC-Adresse (src_mac) | Hauptkonto.mac | |||
| Zielgerätekategorie (dst_category) | dst_kategorie | target.labels.key/value (Ziellabel.Schlüssel/Wert) | ||
| Zielgeräteprofil (dst_profile) | dst_profil | target.labels.key/value (Ziellabel.Schlüssel/Wert) | ||
| Zielgerätemodell (dst_model) | dst_Modell | target.labels.key/value (Ziellabel.Schlüssel/Wert) | ||
| Zielgeräteanbieter (dst_vendor) | dst_anbieter | target.labels.key/value (Ziellabel.Schlüssel/Wert) | ||
| Betriebssystem des Zielgeräts (dst_osfamily) | target.asset.platform_software.platform
target.labels.key/value (Ziellabel.Schlüssel/Wert) |
|||
| Betriebssystemversion des Zielgeräts (dst_osversion) | target.asset.software.version | |||
| Zielhostname (dst_host) | target.hostname | |||
| Ziel-MAC-Adresse (dst_mac) | target.mac | |||
| Container-ID (container_id) | Container-ID | Informationen zu Labels.Schlüssel/Wert | ||
| POD-Namespace (pod_namespace) | pod_namespace | Informationen zu Labels.Schlüssel/Wert | ||
| POD-Name (pod_name) | pod_name | Informationen zu Labels.Schlüssel/Wert | ||
| Externe dynamische Liste der Quelle (src_edl) | src_edl | Hauptkonto.labels.Schlüssel/Wert | ||
| Externe dynamische Liste des Ziels (dst_edl) | DST | target.labels.key/value (Ziellabel.Schlüssel/Wert) | ||
| Host-ID (Host-ID) | Host-ID | Informationen zu Labels.Schlüssel/Wert | ||
| Seriennummer (Seriennummer) | Hauptkonto.asset.hardware.serial_number | |||
| domain_edl (domain_edl) | domain_edl | Informationen zu Labels.Schlüssel/Wert | ||
| Dynamische Quelladressegruppe (src_dag) | Hauptkontogruppe.gruppen_Anzeigename | |||
| Dynamische Zieladresse (dst_dag) | target.group.group_display_name | |||
| partieller_Hash (teilweise_Hash) | Teil-Hash | Informationen zu Labels.Schlüssel/Wert | ||
| Hochauflösender Zeitstempel (high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
|||
| Grund (Grund) | reason | Informationen zu Labels.Schlüssel/Wert | ||
| Begründung (Begründung) | Begründung | Informationen zu Labels.Schlüssel/Wert | ||
| nssai_sst (nssai_sst) | NSSSA | Informationen zu Labels.Schlüssel/Wert | ||
| Unterkategorie der App (subcategory_of_app) | Unterkategorie_App | Informationen zu Labels.Schlüssel/Wert | ||
| App-Kategorie (category_of_app) | App-Kategorie | Informationen zu Labels.Schlüssel/Wert | ||
| App-Technologie (technology_of_app) | app_technologie | Informationen zu Labels.Schlüssel/Wert | ||
| App-Risiko (Risiko_der_App) | Risiko_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| Merkmal der App (characteristic_of_app) | charakteristische_app_ | Informationen zu Labels.Schlüssel/Wert | ||
| Container der Anwendung (container_of_app) | Container_der_App | Informationen zu Labels.Schlüssel/Wert | ||
| Getunnelte Anwendung (tunneled_app) | getunnelte_App | Informationen zu Labels.Schlüssel/Wert | ||
| SaaS der App (is_saas_of_app) | ist_saas_von_app | Informationen zu Labels.Schlüssel/Wert | ||
| Genehmigter Zustand der App (sanctioned_state_of_app) | Sanktionszustand_der_App | Informationen zu Labels.Schlüssel/Wert |
GlobalProtect
In der folgenden Tabelle sind die Logfelder des GlobalProtect-Logtyps und die zugehörigen UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Empfangszeit (Empfangszeit) | RT | Empfangszeit | Metadaten.Ereignis_Zeitstempel | |
| Seriennummer (Seriennummer) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
| Typ (Typ) | Typ (Header) | Metadaten.Produktereignisereignis | ||
| Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Header) | Subtyp | Metadaten.Produktereignisereignis | |
| Zeitpunkt der Erstellung (time_generate) | PanOSLogTimeStamp | Generierter_Zeitstempel | Metadaten.Ereignis_Zeitstempel | |
| Virtuelles System (vsys) | PanOSVirtualSystem | Vsys | Informationen zu Labels.Schlüssel/Wert | |
| Ereignis-ID (eventid) | PanOSEreignis-ID | Ereignis-ID | Informationen zu Labels.Schlüssel/Wert | |
| Bühne (Bühne) | PanOSStage | Phase | Informationen zu Labels.Schlüssel/Wert | |
| Authentifizierungsmethode (auth_method) | PanOSAuthMethod | Erweiterung_auth_auth_details | extensions.auth.auth_details | |
| Tunneltyp (tunnel_type) | PanOSTunnelType | Tunnel | Informationen zu Labels.Schlüssel/Wert | |
| Quellnutzer (srcuser) | PanOSSourceNutzername | src_user (Nutzer) | Hauptkonto.nutzer.emailadresse
Hauptkonto.Nutzer.Nutzer-ID Hauptkonto.administrative_Domain |
|
| Quellregion (srcregion) | PanOSSourceRegion | Region | Hauptkonto.Ort.Land_oder Region | |
| Computername (machinename) | PanOSEndpointDeviceName ( PanOSEndpointDeviceName) | machine_name | Hauptkonto.hostname | |
| Öffentliche IP-Adresse (public_ip) | PanOSPublicIPv4 | Hauptkonto.nat_ip | ||
| Öffentliches IPv6 (public_ipv6) | PanOSPublicIPv6 | Hauptkonto.nat_ip | ||
| Private IP-Adresse (private_ip) | PanOSPrivateIPv4 | Hauptkonto.ip | ||
| Privates IPv6 (private_ipv6) | PanOSPrivateIPv6 | Hauptkonto.ip | ||
| Host-ID (Host-ID) | PanOSHost-ID | Host-ID | Hauptkonto.asset.asset_id | |
| Seriennummer (Seriennummer) | PanOSDeviceSN | Hauptkonto.asset.hardware.serial_number | ||
| Clientversion (client_ver) | PanOSGlobalProtectClientVersion | Kunde_in | Informationen zu Labels.Schlüssel/Wert | |
| Clientbetriebssystem (client_os) | PanOSEndpointOSType (POSOS-Betriebssystemtyp) | Principal.Asset.Platform_Software.Platform(Enum) | ||
| Version des Client-Betriebssystems (client_os_ver) | PanOSEndpointOSVersion | Hauptkonto.asset.platform_software.platform_version | ||
| Anzahl der Wiederholungen (Repeatcnt) | Anzahl der Wiederholungen | Wiederholung | Informationen zu Labels.Schlüssel/Wert | |
| Grund (Grund) | PanOSQuarantänegrund | Sicherheitsergebnis | ||
| Fehler (error) | PanOSConnectionError | Fehler | Sicherheitsergebnis | |
| Beschreibung (undurchsichtig) | PanOS – Beschreibung | Sicherheitsergebnis | ||
| Status (Status) | PanOSEreignisstatus | Status | Informationen zu Labels.Schlüssel/Wert | |
| Standort (Standort) | PanOSGPGateway-Standort | target.location.country_or_region | ||
| Log-in-Dauer (login_duration) | PanOSLoginDauer | network.session_duration | ||
| Verbindungsmethode (connect_method) | PanOSConnectionMethod | Methode verbinden | Informationen zu Labels.Schlüssel/Wert | |
| Fehlercode (error_code) | PanOSConnectionErrorID | Fehlercode | Informationen zu Labels.Schlüssel/Wert | |
| Portal (Portal) | PanOSPortal | Portal | Informationen zu Labels.Schlüssel/Wert | |
| Sequenznummer (Sequenznummer) | PanOSSequenceNein | Metadaten.Produkt_ID | ||
| Aktions-Flags (actionFlags) | PanOSActionFlags | actionflags | Informationen zu Labels.Schlüssel/Wert | |
| Hochauflösender Zeitstempel (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (falls "Erstellungszeit" nicht vorhanden ist) |
||
| Gateway-Auswahlmethode (select_type) | PanOSGatewaySelectionType | Auswahltyp | Informationen zu Labels.Schlüssel/Wert | |
| SSL-Antwortzeit (response_time) | PanOSSSLAntwortzeit | Reaktionszeit | Informationen zu Labels.Schlüssel/Wert | |
| Gateway-Priorität (Priorität) | Priorität von PanOSGateway | Priorität | Informationen zu Labels.Schlüssel/Wert | |
| Versuchte Gateways (attempted_gateways) | PanOSVersuchte Gateways | versuchte_Gateways | Informationen zu Labels.Schlüssel/Wert | |
| Gateway-Name (Gateway) | PanOSVersuchte Gateways | Gateway | Informationen zu Labels.Schlüssel/Wert | |
| Gerätegruppenhierarchie (dg_hier_level_1) | dg_hier_ebene_1 | Informationen zu Labels.Schlüssel/Wert | ||
| Gerätegruppenhierarchie (dg_hier_level_2) | dg_hier_ebene_2 | Informationen zu Labels.Schlüssel/Wert | ||
| Gerätegruppenhierarchie (dg_hier_level_3) | dg_hier_ebene_3 | Informationen zu Labels.Schlüssel/Wert | ||
| Gerätegruppenhierarchie (dg_hier_level_4) | dg_hier_ebene_4 | Informationen zu Labels.Schlüssel/Wert | ||
| Name des virtuellen Systems (vsys_name) | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
|||
| Gerätename (device_name) | target.hostname | |||
| Virtuelle System-ID (vsys_id) | Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id |
Ergebnisse in Beziehung setzen
In der folgenden Tabelle sind die Logfelder des Correlation-Logtyps und die zugehörigen UDM-Felder aufgeführt.
| CSV-Feld | CEF-Feld | LEEF-Feld | Chronicle-Labelschlüssel | UDM-Feld |
|---|---|---|---|---|
| Generated Time (time_generated oder cef formatted-time_generate) | Startzeit | Generierter_Zeitstempel | Metadaten.Ereignis_Zeitstempel | |
| Quelladresse (src) | src | Hauptkonto.ip | ||
| Quellnutzer (srcuser) | Quellnutzer / usrName | Hauptkonto.Nutzer.Nutzer-ID | ||
| Virtuelles System (vsys) | Virtuelles System | Vsys | Informationen zu Labels.Schlüssel/Wert | |
| Kategorie (Kategorie) | Details zum Sicherheitsergebnis | |||
| Schweregrad (Schweregrad) | Schweregrad | security_result.severity und security_result.severity_details | ||
| Hierarchieebene der Gerätegruppe 1 | GerätegruppenHierarchyL1 | Informationen zu Labels.Schlüssel/Wert | ||
| Hierarchieebene der Geräteebene 2 | GerätegruppenHierarchyL2 | Informationen zu Labels.Schlüssel/Wert | ||
| Hierarchieebene der Gerätegruppe 3 | GerätegruppenHierarchyL3 | Informationen zu Labels.Schlüssel/Wert | ||
| Hierarchieebene der Gerätegruppe 4 | GerätegruppenHierarchyL4 | Informationen zu Labels.Schlüssel/Wert | ||
| Name des virtuellen Systems (vsys_name) | vSrcName | principal.resource.name
Hauptkonto.resource.resource_type=VIRTUAL_MACHINE |
||
| Gerätename (device_name) | DeviceName | intermediary.hostname | ||
| Virtuelle System-ID (vsys_id) | Virtuelle System-ID | Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id | ||
| Objektname (Objektname) | ObjectName | target.resource.name | ||
| Objekt-ID (object_id) | Objekt-ID | target.resource.product_object_id |
Referenz für die Feldzuordnung: Logtypen in UDM-Ereignistyp
In der folgenden Tabelle sind die Firewall-Logtypen von Palo Alto Networks und die entsprechenden UDM-Ereignistypen aufgeführt.
| Logtyp | UDM-Ereignistyp |
| Traffic | NETZWERKVERBINDUNG |
| Infos zu | NETZWERKVERBINDUNG |
| URL-Filter | NETZWERKVERBINDUNG |
| Wildfeuer | NETZWERKVERBINDUNG
WildFire-Einreichungslogs sind ein Subtyp des Threat-Logtyps und verwenden dasselbe Syslog-Format. |
| Datenfilterung | NETZWERKVERBINDUNG |
| Tunnel- | NETZWERKVERBINDUNG |
| Konfiguration | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
Der Wert des Felds „Befehl (cmd)“ bestimmt die UDM-Ereignistypzuordnung. Wenn der Wert des Cmd-Felds hinzugefügt oder geklont wird, wird SETTING_CREATION festgelegt. Wenn der Wert des cmd-Felds gelöscht wird, wird SETTING_DELETION festgelegt. Wenn der Wert des Cmd-Felds bearbeitet, verschoben, umbenannt, festgelegt oder übergeben wird, wird SETTING_MODIFICATION festgelegt. Wenn der Feldwert cmd keine Werte enthält, wird SETTING_UNCATEGORIZED festgelegt. |
| System |
Wenn der Wert des Untertyps „dhcp“ ist, wird NETWORK_DHCP festgelegt. Für andere Werte ist GENERIC_EVENT festgelegt. |
| HIP-Übereinstimmung | NETZWERKVERBINDUNG |
| IP-Tag | GENERIC_EVENT |
| User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
Wenn der Wert des Untertyps „login“ lautet, wird USER_LOGIN festgelegt. Wenn der Wert des Untertyps „logout“ lautet, wird USER_LOGOUT festgelegt. Wenn der Untertyp keinen Wert enthält, wird USER_UNCATEGORIZED festgelegt. |
| Entschlüsselung | NETZWERKVERBINDUNG |
| Authentifizierung | GENERIC_EVENT |